| AdditionalFields |
dynamisch |
Wenn keine entsprechende Spalte im Schema übereinstimmt, können zusätzliche Felder in einem JSON-Behälter gespeichert werden. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| CloudAppId |
Zeichenfolge |
Die ID der Zielanwendung für eine HTTP-Anwendung, wie sie von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| CloudAppName |
Zeichenfolge |
Der Name der Zielanwendung für eine HTTP-Anwendung, wie er von einem Proxy identifiziert wird. |
| CloudAppOperation |
Zeichenfolge |
Der Vorgang, den der Benutzer im Kontext der Zielanwendung für eine HTTP-Anwendung ausgeführt hat, wie er von einem Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| CloudAppRiskLevel |
Zeichenfolge |
Die Risikostufe, die einer HTTP-Anwendung zugeordnet ist, wie sie durch einen Proxy identifiziert wird. Dieser Wert ist in der Regel spezifisch für den verwendeten Proxy. |
| DstBytes |
long |
Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. |
| DstDomainHostname |
Zeichenfolge |
Die Domäne des Zielhosts. |
| DstDvcDomain |
Zeichenfolge |
Die Domäne des Zielgeräts |
| DstDvcFqdn |
Zeichenfolge |
Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
| DstDvcHostname |
Zeichenfolge |
Der Gerätename des Zielgeräts. |
| DstDvcIpAddr |
Zeichenfolge |
Die Ziel-IP-Adresse eines Geräts, das nicht direkt mit dem Netzwerkpaket verknüpft ist. |
| DstDvcMacAddr |
Zeichenfolge |
Die MAC-Zieladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
| DstGeoCity |
Zeichenfolge |
Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoCountry |
Zeichenfolge |
Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| DstGeoLatitude |
real |
Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| DstGeoLongitude |
real |
Der Längengrad der geografischen Koordinate, die der IP-Zieladresse zugeordnet ist. |
| DstGeoRegion |
Zeichenfolge |
Die Region innerhalb eines Landes, das der Ziel-IP-Adresse zugeordnet ist. |
| DstInterfaceGuid |
Zeichenfolge |
GUID der Netzwerkschnittstelle, die für die Authentifizierungsanforderung verwendet wurde. |
| DstInterfaceName |
Zeichenfolge |
Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. |
| DstIpAddr |
Zeichenfolge |
Die IP-Adresse der Verbindung oder des Sitzungsziels. |
| DstMacAddr |
Zeichenfolge |
Die MAC-Adresse der Netzwerkschnittstelle, an der die Verbindung oder Sitzung beendet wurde. |
| DstNatIpAddr |
Zeichenfolge |
Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit der Quelle verwendete IP-Adresse. |
| DstNatPortNumber |
int |
Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit der Quelle verwendeten Port. |
| DstPackets |
long |
Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
| DstPortNumber |
int |
Der Ziel-IP-Port |
| DstResourceId |
Zeichenfolge |
Die Ressourcen-ID des Zielgeräts. |
| DstUserAadId |
Zeichenfolge |
Die Objekt-ID des Azure AD-Kontos des Benutzers am Zielende der Sitzung. |
| DstUserDomain |
Zeichenfolge |
Der Domänen- oder Computername des Kontos am Ziel der Sitzung. |
| DstUserName |
Zeichenfolge |
Der Benutzername der Identität, die dem Ziel der Sitzung zugeordnet ist. |
| DstUserSid |
Zeichenfolge |
Die Benutzer-ID der Identität, die dem Ziel der Sitzung zugeordnet ist. Normalerweise ist dies die Identität, die zum Authentifizieren eines Servers verwendet wird. |
| DstUserUpn |
Zeichenfolge |
Der UPN der Identität, die dem Ziel der Sitzung zugeordnet ist. |
| DstZone |
Zeichenfolge |
Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. |
| DvcAction |
Zeichenfolge |
Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die vom Gerät ausgeführte Aktion. |
| DvcHostname |
Zeichenfolge |
Der Gerätename des Geräts, das die Nachricht erzeugt. |
| DvcInboundInterface |
Zeichenfolge |
Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle. |
| DvcIpAddr |
Zeichenfolge |
Die IP-Adresse des Geräts, das den Datensatz generiert. |
| DvcMacAddr |
Zeichenfolge |
Die MAC-Adresse der Netzwerkschnittstelle des meldenden Geräts, von dem das Ereignis gesendet wurde. |
| DvcOutboundInterface |
Zeichenfolge |
Wenn sie von einem zwischengeschalteten Gerät, z. B. einer Firewall, gemeldet wird, die von ihm für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle. |
| EventCount |
int |
Die Anzahl der aggregierten Ereignisse, falls zutreffend. |
| EventEndTime |
datetime |
Der Zeitpunkt, zu dem das Ereignis geendet hat. |
| EventMessage |
Zeichenfolge |
Eine allgemeine Nachricht oder Beschreibung, entweder enthalten oder aus dem Datensatz generiert. |
| EventOriginalUid |
Zeichenfolge |
Die Datensatz-ID des meldenden Geräts. |
| EventProduct |
Zeichenfolge |
Das Produkt, das das Ereignis erzeugt. |
| EventProductVersion |
Zeichenfolge |
Die Version des Produkts, das das Ereignis erzeugt. |
| EventReportUrl |
Zeichenfolge |
Ein Link zum vollständigen Bericht, der vom Berichterstellungsgerät erstellt wurde. |
| EventResourceId |
Zeichenfolge |
Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
| EventResult |
Zeichenfolge |
Der für die Aktivität gemeldete Erfolg. Leerer Wert, wenn nicht zutreffend. |
| EventResultDetails |
Zeichenfolge |
Grund für das in EventResult gemeldete Ergebnis |
| EventSchemaVersion |
Zeichenfolge |
Azure Sentinel Schema Version. |
| EventSeverity |
Zeichenfolge |
Beschreibt den Schweregrad der Auswirkungen, falls die gemeldete Aktivität Sicherheitsauswirkungen hat. |
| EventStartTime |
datetime |
Die Uhrzeit, zu der das Ereignis angegeben wurde. |
| EventSubType |
Zeichenfolge |
Zusätzliche Beschreibung des Typs, falls zutreffend. |
| EventTimeIngested |
datetime |
Der Zeitpunkt, zu dem das Ereignis in Azure Sentinel erfasst wurde. Wird von Azure Sentinel hinzugefügt. |
| EventType |
Zeichenfolge |
Typ des ereignisses, das erfasst wird. |
| EventUid |
Zeichenfolge |
Eindeutiger Bezeichner, der von Sentinel zum Markieren einer Zeile verwendet wird. |
| EventVendor |
Zeichenfolge |
Der Hersteller des Produkts, das das Ereignis erzeugt. |
| FileExtension |
Zeichenfolge |
Der Typ der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird, z. B. FTP und HTTP. |
| FileHashMd5 |
Zeichenfolge |
Der MD5-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha1 |
Zeichenfolge |
Der SHA1-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha256 |
Zeichenfolge |
Der SHA256-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileHashSha512 |
Zeichenfolge |
Der SHA512-Hashwert der Datei, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| FileMimeType |
Zeichenfolge |
Der MIME-Typ der Datei, die über die Netzwerkverbindungen für Protokolle wie FTP und HTTP übertragen wird. |
| FileName |
Zeichenfolge |
Der Dateiname, der für Protokolle wie FTP und HTTP, die Dateinameninformationen bereitstellen, über die Netzwerkverbindungen übertragen wird. |
| FilePath |
Zeichenfolge |
Der vollständige Pfad, einschließlich des Dateinamens, der Datei. |
| FileSize |
int |
Die Dateigröße der Datei in Byte, die über die Netzwerkverbindungen für Protokolle übertragen wird. |
| HttpContentType |
Zeichenfolge |
Der Content-Type-Header der HTTP-Antwort für HTTP/HTTPS-Netzwerksitzungen. |
| HttpReferrerOriginal |
Zeichenfolge |
Der HTTP-Referrer-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpRequestMethod |
Zeichenfolge |
Die HTTP-Methode für HTTP/HTTPS-Netzwerksitzungen. |
| HttpRequestTime |
int |
Die Zeitspanne, die zum Senden der Anforderung an den Server benötigt wurde, falls zutreffend. |
| HttpRequestXff |
Zeichenfolge |
Der HTTP X-Forwarded-For-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpResponseTime |
int |
Die Zeitspanne, die zum Empfangen einer Antwort auf dem Server benötigt wurde, falls zutreffend. |
| HttpStatusCode |
Zeichenfolge |
Der HTTP-Statuscode für HTTP/HTTPS-Netzwerksitzungen. |
| HttpUserAgentOriginal |
Zeichenfolge |
Der HTTP-Benutzer-Agent-Header für HTTP/HTTPS-Netzwerksitzungen. |
| HttpVersion |
Zeichenfolge |
Die HTTP-Anforderungsversion für HTTP/HTTPS-Netzwerkverbindungen. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| NetworkApplicationProtocol |
Zeichenfolge |
Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. |
| NetworkBytes |
long |
Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorhanden sind, sollte BytesTotal ihrer Summe entsprechen. |
| NetworkDirection |
Zeichenfolge |
Die Richtung der Verbindung oder Sitzung, in die bzw. aus der Organisation. |
| NetworkDuration |
int |
Die Zeitspanne für den Abschluss der Netzwerksitzung oder -verbindung in Millisekunden. |
| NetworkIcmpCode |
int |
Bei ICMP-Nachrichten der numerische Wert für den ICMP-Nachrichtentyp (RFC 2780 oder RFC 4443). |
| NetworkIcmpType |
Zeichenfolge |
Bei ICMP-Nachrichten die Textdarstellung des ICMP-Nachrichtentyps (RFC 2780 oder RFC 4443). |
| NetworkPackets |
long |
Die Anzahl Pakete, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorhanden sind, sollte NetworkPackets ihrer Summe entsprechen. |
| NetworkProtocol |
Zeichenfolge |
Das IP-Protokoll, das von der Verbindung oder der Sitzung verwendet wird. In der Regel TCP, UDP oder ICMP. |
| NetworkRuleName |
Zeichenfolge |
Der Name oder die ID der Regel, für die DeviceAction entschieden wurde. |
| NetworkRuleNumber |
int |
Übereinstimmungsregelnummer. |
| NetworkSessionId |
Zeichenfolge |
Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcBytes |
long |
Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. |
| SrcDvcDomain |
Zeichenfolge |
Domäne des Geräts, von dem aus die Sitzung initiiert wurde. |
| SrcDvcFqdn |
Zeichenfolge |
Der vollqualifizierte Domänenname des Hosts, auf dem das Protokoll erstellt wurde. |
| SrcDvcHostname |
Zeichenfolge |
Der Gerätename des Quellgeräts. |
| SrcDvcIpAddr |
Zeichenfolge |
Die IP-Quelladresse eines Geräts, das nicht direkt mit dem Netzwerkpaket in Verbindung steht (von einem Anbieter erfasst oder explizit berechnet). |
| SrcDvcMacAddr |
Zeichenfolge |
Die MAC-Quelladresse eines Geräts, das dem Netzwerkpaket nicht direkt zugeordnet ist |
| SrcDvcModelName |
Zeichenfolge |
Das Modell des Quellgeräts. |
| SrcDvcModelNumber |
Zeichenfolge |
Die Modellnummer des Quellgeräts. |
| SrcDvcOs |
Zeichenfolge |
Das Betriebssystem des Quellgeräts. |
| SrcDvcType |
Zeichenfolge |
Der Typ des Quellgeräts. |
| SrcGeoCity |
Zeichenfolge |
Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry |
Zeichenfolge |
Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude |
real |
Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude |
real |
Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoRegion |
Zeichenfolge |
Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| SrcInterfaceGuid |
Zeichenfolge |
GUID der verwendeten Netzwerkschnittstelle. |
| SrcInterfaceName |
Zeichenfolge |
Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. |
| SrcIpAddr |
Zeichenfolge |
Die IP-Adresse, von der die Verbindung oder Sitzung stammt. |
| SrcMacAddr |
Zeichenfolge |
Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. |
| SrcNatIpAddr |
Zeichenfolge |
Wenn sie von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um die vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete IP-Adresse. |
| SrcNatPortNumber |
int |
Wenn er von einem zwischengeschalteten Gerät wie z. B. einer Firewall gemeldet wird, handelt es sich um den vom NAT-Gerät für die Kommunikation mit dem Ziel verwendeten Port. |
| SrcPackets |
long |
Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. |
| SrcPortNumber |
int |
Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. |
| SrcResourceId |
Zeichenfolge |
Der Ressourcen-ID des Geräts, das die Nachricht erzeugt. |
| SrcUserAadId |
Zeichenfolge |
Die Objekt-ID des Azure AD-Kontos des Benutzers am Quellende der Sitzung. |
| SrcUserDomain |
Zeichenfolge |
Die Domäne für das Konto, das die Sitzung initiiert. |
| SrcUserName |
Zeichenfolge |
Der Benutzername der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
| SrcUserSid |
Zeichenfolge |
Die Benutzer-ID der Identität, die der Quelle der Sitzung zugeordnet ist. Normalerweise ein Benutzer, der eine Aktion auf dem Client ausführt. |
| SrcUserUpn |
Zeichenfolge |
UPN des Kontos, das die Sitzung initiiert. |
| SrcZone |
Zeichenfolge |
Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| ThreatCategory |
Zeichenfolge |
Die Kategorie einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
| ThreatId |
Zeichenfolge |
Die ID einer Bedrohung, die von einem Sicherheitssystem, z. B. dem Web Security Gateway eines IPS, identifiziert wird und dieser Netzwerksitzung zugeordnet ist. |
| ThreatName |
Zeichenfolge |
Der Name der identifizierten Bedrohung oder Schadsoftware. |
| TimeGenerated |
datetime |
Der Zeitpunkt, zu dem das Ereignis eingetreten ist, wie von der Meldequelle gemeldet. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| UrlCategory |
Zeichenfolge |
Die definierte Gruppierung einer URL (oder kann nur auf der Grundlage der Domäne in der URL) im Zusammenhang mit dem, was es ist (z. B. Erwachsene, Nachrichten, Werbung, geparkte Domänen usw.). |
| UrlHostname |
Zeichenfolge |
Der Domänenteil einer HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |
| UrlOriginal |
Zeichenfolge |
Die HTTP-Anforderungs-URL für HTTP/HTTPS-Netzwerksitzungen. |