Udostępnij za pośrednictwem


ASimWebSessionLogs

Schemat normalizacji sesji sieci Web advanced Security Information Model (ASIM) — opisuje aktywność sieci IP. Na przykład działania sieci IP są zgłaszane przez serwery internetowe, serwery proxy sieci Web i bramy zabezpieczeń sieci Web.

Atrybuty tabeli

Atrybut Wartość
Typy zasobów microsoft.securityinsights/websessionlogs
Kategorie Zabezpieczenia
Rozwiązania SecurityInsights
Dziennik podstawowy Nie.
Przekształcanie czasu pozyskiwania Tak
Przykładowe zapytania -

Kolumny

Kolumna Type Opis
Dodatkowe pola dynamiczna Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim.
_BilledSize rzeczywiste Rozmiar rekordu w bajtach
Identyfikator DstAppId string Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania.
DstAppName string Nazwa aplikacji docelowej.
DstAppType string Typ aplikacji docelowej.
Bajty DstBytes długi Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes jest sumą wszystkich zagregowanych sesji.
DstDeviceType string Typ urządzenia docelowego.
DstDomain string Domena urządzenia docelowego.
DstDomainType string Typ DstDomain.
DstDvcId string Identyfikator urządzenia docelowego.
DstDvcIdType string Typ DstDvcId.
DstDvcScope string Zakres platformy w chmurze, do którego należy urządzenie docelowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS.
DstDvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
Nazwa DstFQDN string Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne.
DstGeoCity string Miasto skojarzone z docelowym adresem IP.
DstGeoCountry string Kraj skojarzony z docelowym adresem IP.
DstGeoLatitude rzeczywiste Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.
DstGeoLongitude rzeczywiste Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.
DstGeoRegion string Region lub stan w kraju skojarzonym z docelowym adresem IP.
Nazwa hosta Dst string Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie.
DstIpAddr string Adres IP miejsca docelowego połączenia lub sesji.
DstMacAddr string Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe.
DstNatIpAddr string DstNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem.
DstNatPortNumber int Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji ze źródłem.
DstOriginalUserType string Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło.
Zestawy DstPackets długi Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, DstPackets jest sumą wszystkich zagregowanych sesji.
DstPortNumber int Docelowy port IP.
DstUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego.
DstUserIdType string Typ identyfikatora przechowywanego w polu DstUserId.
Nazwa użytkownika Dst string Nazwa użytkownika docelowego, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne.
DstUsernameType string Określa typ nazwy użytkownika przechowywanej w polu DstUsername.
DstUserType string Typ użytkownika docelowego.
Dvc string Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcAction string Akcja podjęta w sesji internetowej.
DvcDomain string Domena urządzenia zgłasza zdarzenie.
DvcDomainType string Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN".
DvcFQDN string Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcHostname string Nazwa hosta urządzenia zgłasza zdarzenie.
DvcId string Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcIdType string Typ DvcId.
DvcIpAddr string Adres IP urządzenia zgłasza zdarzenie.
DvcOriginalAction string Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania.
EventCount int Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń.
EventEndTime datetime Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventMessage string Ogólny komunikat lub opis.
EventOriginalResultDetails string Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu.
EventOriginalSeverity string Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity.
EventOriginalSubType string Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu.
EventOriginalType string Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło.
EventOriginalUid string Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło.
Właściciel zdarzenia string Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany.
EventProduct string Produkt generujący zdarzenie.
EventProductVersion string Wersja produktu generująca zdarzenie.
EventReportUrl string Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu.
EventResult string Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails.
EventResultDetails string Kod stanu HTTP.
EventSchemaVersion string Wersja schematu.
EventSeverity string Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High.
EventStartTime datetime Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventSubType string Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie.
EventType string Operacja zgłoszona przez rekord.
EventVendor string Dostawca produktu generującego zdarzenie.
FileContentType string W przypadku przekazywania HTTP typ zawartości przekazanego pliku.
FileMD5 string W przypadku przekazywania HTTP skrót MD5 przekazanego pliku.
FileName string W przypadku przekazywania HTTP nazwa przekazanego pliku.
FileSHA1 string W przypadku przekazywania HTTP skrót SHA1 przekazanego pliku.
FileSHA256 string W przypadku przekazywania HTTP skrót SHA256 przekazanego pliku.
FileSHA512 string W przypadku przekazywania HTTP skrót SHA512 przekazanego pliku.
Rozmiar pliku int W przypadku przekazywania HTTP rozmiar w bajtach przekazanego pliku.
HttpContentFormat string Część formatu zawartości typu HttpContentType
HttpContentType string Nagłówek typu zawartości odpowiedź HTTP.
HttpHost string Wirtualny serwer internetowy, którego dotyczy żądanie HTTP.
HttpReferrer string Nagłówek odwołania HTTP.
HttpRequestMethod string Metoda HTTP.
HttpRequestTime int Czas wysyłania żądania do serwera w milisekundach.
HttpRequestXff string Nagłówek HTTP X-Forwarded-For.
HttpResponseTime int Ilość czasu w milisekundach zajęła odebranie odpowiedzi na serwerze.
HttpUserAgent string Nagłówek agenta użytkownika HTTP.
HttpVersion string Wersja żądania HTTP.
_IsBillable string Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure
NetworkApplicationProtocol string Protokół warstwy aplikacji używany przez połączenie lub sesję.
Liczba bajtów sieci długi Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. Jeśli zdarzenie jest agregowane, wartość NetworkBytes jest sumą wszystkich zagregowanych sesji.
NetworkConnectionHistory string Flagi TCP i inne potencjalne informacje nagłówka IP.
NetworkDirection string Kierunek połączenia lub sesji.
NetworkDuration int Czas( w milisekundach) na zakończenie sesji internetowej lub połączenia.
NetworkIcmpCode int W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6.
NetworkIcmpType string W przypadku komunikatu ICMP reprezentacja tekstowa typu komunikatu ICMP, zgodnie z opisem w artykule RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6.
NetworkPackets długi Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, networkPackets jest sumą wszystkich zagregowanych sesji.
NetworkProtocol string Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDP lub ICMP.
NetworkProtocolVersion string Wersja networkProtocol.
NetworkSessionId string Identyfikator sesji zgłoszony przez urządzenie raportowania.
_ResourceId string Unikatowy identyfikator zasobu skojarzonego z rekordem
Reguła string NetworkRuleName lub NetworkRuleNumber
RuleName string Nazwa lub identyfikator reguły, za pomocą której podjęto decyzję DvcAction. Przykład: AnyAnyDrop
RuleNumber int Liczba reguł, za pomocą których podjęto decyzję DvcAction. Przykład: 23
SourceSystem string Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure
SrcAppId string Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania.
SrcAppName string Nazwa aplikacji źródłowej.
SrcAppType string Typ aplikacji źródłowej.
SrcBytes długi Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes jest sumą wszystkich zagregowanych sesji.
SrcDeviceType string Typ urządzenia źródłowego.
SrcDomain string Domena urządzenia źródłowego.
SrcDomainType string Typ SrcDomain.
SrcDvcId string Identyfikator urządzenia źródłowego.
SrcDvcIdType string Typ SrcDvcId.
SrcDvcScope string Zakres platformy w chmurze, do którego należy urządzenie źródłowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS.
SrcDvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcFQDN string Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.
SrcGeoCity string Miasto skojarzone ze źródłowym adresem IP.
SrcGeoCountry string Kraj skojarzony ze źródłowym adresem IP.
SrcGeoLatitude rzeczywiste Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP.
SrcGeoLongitude rzeczywiste Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP.
SrcGeoRegion string Region w kraju skojarzonym z źródłowym adresem IP.
SrcHostname string Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, może przechowywać odpowiedni adres IP.
SrcIpAddr string Adres IP, z którego pochodzi połączenie lub sesja.
SrcMacAddr string Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja.
SrcNatIpAddr string SrcNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym.
SrcNatPortNumber int Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji z miejscem docelowym.
SrcOriginalUserType string Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania.
Zestawy SrcPackets długi Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, SrcPackets jest sumą wszystkich zagregowanych sesji.
SrcPortNumber int Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń.
SrcProcessGuid string Wygenerowany unikatowy identyfikator (GUID) procesu źródłowego.
SrcProcessId string Identyfikator procesu (PID) procesu źródłowego.
SrcProcessName string Nazwa procesu źródłowego.
SrcUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego.
SrcUserIdType string Typ identyfikatora przechowywanego w polu SrcUserId.
SrcUsername string Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne.
SrcUsernameType string Określa typ nazwy użytkownika przechowywanej w polu SrcUsername.
SrcUserScope string Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano wartości SrcUserId i SrcUsername.
SrcUserScopeId string Identyfikator zakresu, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator SrcUserId i SrcUsername.
SrcUserType string Typ użytkownika źródłowego.
_SubscriptionId string Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord
TenantId string Identyfikator obszaru roboczego usługi Log Analytics
ThreatCategory string Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej.
ThreatConfidence int Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatField string Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName.
ThreatFirstReportedTime datetime Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatId string Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowany w sesji internetowej.
ThreatIpAddr string Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje.
ThreatIsActive bool Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie.
ThreatLastReportedTime datetime Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatName string Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej.
ThreatOriginalConfidence string Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatOriginalRiskLevel string Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatRiskLevel int Poziom ryzyka skojarzony z sesją. Poziom jest liczbą z zakresu od 0 do 100.
TimeGenerated datetime Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia.
Typ string Nazwa tabeli
Url string Pełny adres URL żądania HTTP, w tym parametry.
UrlCategory string Zdefiniowane grupowanie adresu URL lub części domeny adresu URL.
UrlOriginal string Oryginalna wartość adresu URL, gdy adres URL został zmodyfikowany przez urządzenie raportowania i podano obie wartości.