你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 网络会话规范化架构表示 IP 网络活动,例如网络连接和网络会话。 例如,操作系统、路由器、防火墙和入侵防护系统会报告此类事件。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/networksessionnormalized |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AdditionalFields | 动态 | 其他信息,使用源提供的键/值对来表示,这些信息不映射到 ASim。 |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| DstAppId | 字符串 | 目标应用程序的 ID,由报告设备报告。 |
| DstAppName | 字符串 | 目标应用程序的名称。 |
| DstAppType | 字符串 | 目标应用程序的类型。 |
| DstBytes | 长整型 | 从连接或会话的目标发送到源的字节数。 如果聚合了事件,则 DstBytes 为所有聚合会话的总和。 |
| DstDescription | 字符串 | 与目标关联的描述性文本。 |
| DstDeviceType | 字符串 | 目标设备的类型。 |
| DstDomain | 字符串 | 目标设备的域。 |
| DstDomainType | 字符串 | DstDomain 的类型。 |
| DstDvcId | 字符串 | 目标设备的 ID。 |
| DstDvcIdType | 字符串 | DstDvcId 的类型。 |
| DstFQDN | 字符串 | 目标设备主机名,包括域信息(如果可用)。 |
| DstGeoCity | 字符串 | 与目标 IP 地址关联的城市。 |
| DstGeoCountry | 字符串 | 与目标 IP 地址关联的国家/地区。 |
| DstGeoLatitude | 实数 | 与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude | 实数 | 与目标 IP 地址关联的地理坐标的经度。 |
| DstGeoRegion | 字符串 | 与目标 IP 地址关联的所在国家或地区的区域或省/州。 |
| DstHostname | 字符串 | 目标设备主机名,不包括域信息。 |
| DstInterfaceGuid | 字符串 | 在目标设备上使用的网络接口的 GUID。 |
| Dst接口名称 | 字符串 | 由目标设备用来建立连接或会话的网络接口。 |
| DstIpAddr | 字符串 | 连接或会话目标的 IP 地址。 |
| DstMacAddr | 字符串 | 由目标设备用来建立连接或会话的网络接口的 MAC 地址。 |
| DstNatIpAddr | 字符串 | DstNatIpAddr 表示以下任一地址:如果使用了网络地址转换,则表示目标设备的原始地址,或者表示中间设备用于与源通信的 IP 地址。 |
| DstNatPortNumber | 整数 (int) | 如果由中间 NAT 设备报告,则该值是由 NAT 设备用来与源通信的端口。 |
| DstOriginalUserType | 字符串 | 原始目标用户类型(如果源已提供)。 |
| DstPackets | 长整型 | 从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 如果聚合了事件,则 DstPackets 为所有聚合会话的总和。 |
| DstPortNumber | 整数 (int) | 目标 IP 端口。 |
| DstSubscriptionId | 字符串 | 目标设备所属的云平台订阅 ID。 DstSubscriptionId 映射到 Azure 上的订阅 ID 和映射到 AWS 上的帐户 ID。 |
| DstUserId | 字符串 | 目标用户的计算机可读的唯一字母数字表示形式。 |
| Dst用户ID类型 | 字符串 | DstUserId 字段中存储的 ID 的类型。 |
| DstUsername | 字符串 | 目标用户名,包括域信息(如果可用)。 仅当未提供域信息时才使用简单格式。 |
| Dst用户名类型 | 字符串 | 指定 DstUsername 字段中存储的用户名的类型。 |
| Dst用户类型 | 字符串 | 目标用户的类型。 |
| DstVlanId | 字符串 | 与目标设备对应的 VLAN ID。 |
| DstZone | 字符串 | 目标的网络区域,由报告设备定义。 |
| Dvc | 字符串 | 发生了事件或报告了事件的设备的唯一标识符。 |
| DvcAction | 字符串 | 对网络会话执行的操作。 |
| DvcDescription | 字符串 | 与设备关联的描述性文本。 例如:主域控制器。 |
| DvcDomain | 字符串 | 设备报告事件的域名。 |
| DvcDomainType | 字符串 | DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
| DvcFQDN | 字符串 | 发生了事件或报告了事件的设备的主机名。 |
| DvcHostname | 字符串 | 报告事件的设备的主机名。 |
| “DvcId” | 字符串 | 发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType | 字符串 | DvcId 的类型。 |
| DvcInboundInterface | 字符串 | 如果中间设备报告了该值,则该值是由 NAT 设备用来连接到源设备的网络接口。 |
| DvcInterface | 字符串 | 捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。 |
| DvcIpAddr | 字符串 | 报告事件的设备的 IP 地址。 |
| DvcMacAddr | 字符串 | 发生了事件或报告了事件的设备的 MAC 地址。 示例:00:1B:44:11:3A:B7 |
| DvcOriginalAction | 字符串 | 由报告设备提供的原始 DvcAction。 |
| DvcOs | 字符串 | 报告事件的设备上运行的操作系统。 |
| DvcOsVersion | 字符串 | 报告事件的设备上的操作系统版本。 |
| DvcOutbound接口 | 字符串 | 如果中间设备报告了该值,则该值是由 NAT 设备用来连接到目标设备的网络接口。 |
| DvcSubscriptionId | 字符串 | 设备所属的云平台订阅 ID。 DvcSubscriptionId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone | 字符串 | 发生了事件或报告了事件的网络。 区域由报告设备定义。 |
| EventCount | 整数 (int) | 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
| 事件结束时间 | 日期/时间 | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage | 字符串 | 常规消息或说明。 |
| 事件原始结果详情 | 字符串 | 源提供的原始结果详细信息。 此值用于派生 EventResultDetails,其应只包含针对每个架构记录的值之一。 |
| EventOriginalSeverity | 字符串 | 由报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| EventOriginalSubType | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,其中应只包含针对每个架构记录的一个值。 |
| 事件原始类型 | 字符串 | 原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 |
| EventProduct | 字符串 | 生成事件的产品。 |
| EventProductVersion | 字符串 | 生成事件的产品的版本。 |
| 事件报告链接 | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| EventResult | 字符串 | 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 | 字符串 | EventResult 字段中报告的结果的原因或详细信息。 |
| EventSchemaVersion | 字符串 | 架构的版本。 |
| EventSeverity | 字符串 | 事件的严重性。 有效选项为:信息性、低、中或高。 |
| 事件开始时间 | 日期/时间 | 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 | 字符串 | 事件类型的附加说明(如果适用)。 |
| 事件类型 | 字符串 | 记录报告的操作。 |
| EventVendor | 字符串 | 生成事件的产品的供应商。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 网络应用协议 | 字符串 | 连接或会话使用的应用程序层协议。 |
| NetworkBytes | 长整型 | 双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 如果聚合了事件,则 NetworkBytes 为所有聚合会话的总和。 |
| 网络连接历史 | 字符串 | TCP 标志和其他潜在的 IP 标头信息。 |
| NetworkDirection | 字符串 | 连接或会话的方向。 |
| 网络持续时间 | 整数 (int) | 完成网络会话或连接所花费的时间,以毫秒为单位。 |
| NetworkIcmpCode(网络ICMP代码) | 整数 (int) | 对于 ICMP 消息,ICMP 消息类型数值应遵循 RFC 2780(适用于 IPv4 网络连接)或 RFC 4443(适用于 IPv6 网络连接)中所述。 |
| 网络ICMP类型 | 字符串 | 在 ICMP 消息中,ICMP 消息类型的文本表示形式,如在用于 IPv4 网络连接的 RFC 2780 或用于 IPv6 网络连接的 RFC 4443 中所描述。 |
| NetworkPackets | 长整型 | 双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和 。 数据包的含义由报告设备定义。 如果聚合了事件,则 NetworkPackets 为所有聚合会话的总和。 |
| 网络协议 | 字符串 | 连接或会话使用的 IP 协议,在 IANA 协议分配中列出,通常为 TCP、UDP 或 ICMP。 |
| 网络协议版本 | 字符串 | NetworkProtocol 的版本。 |
| 网络规则名称 | 字符串 | 确定 DvcAction 时所依据的规则的名称或 ID。 |
| NetworkRuleNumber | 整数 (int) | 确定 DvcAction 时所依据的规则的编号。 |
| 网络会话ID | 字符串 | 报告设备报告的会话标识符。 |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,Windows 代理可以使用 OpsManager(直接连接或 Operation Manager);所有 Linux 代理可以使用 Linux;Azure 诊断可以使用 Azure。 |
| SrcAppId | 字符串 | 源应用程序的 ID(由报告设备报告)。 |
| SrcAppName | 字符串 | 源应用程序的名称。 |
| SrcAppType | 字符串 | 源应用程序的类型。 |
| SrcBytes | 长整型 | 从连接或会话的源发送到目标的字节数。 如果聚合了事件,则 SrcBytes 为所有聚合会话的总和。 |
| SrcDescription | 字符串 | 与源关联的描述性文本。 |
| SrcDeviceType | 字符串 | 源设备的类型。 |
| SrcDomain | 字符串 | 源设备的域。 |
| SrcDomainType | 字符串 | SrcDomain 的类型。 |
| SrcDvcId | 字符串 | 源设备的 ID。 |
| SrcDvcIdType | 字符串 | SrcDvcId 的类型。 |
| SrcFQDN | 字符串 | 源设备主机名,包括域信息(如果可用)。 |
| SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
| SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude | 实数 | 与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude | 实数 | 与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区中的区域。 |
| SrcHostname | 字符串 | 源设备主机名,不包括域信息。 如果没有可用的设备名称,请存储相关的 IP 地址。 |
| SrcInterfaceGuid | 字符串 | 在源设备上使用的网络接口的 GUID。 |
| SrcInterfaceName | 字符串 | 由源设备用来建立连接或会话的网络接口。 |
| SrcIpAddr | 字符串 | 从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr | 字符串 | 从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr | 字符串 | SrcNatIpAddr 表示以下任一地址:如果使用了网络地址转换,则表示源设备的原始地址,或者表示中间设备用于与目标通信的 IP 地址。 |
| SrcNatPortNumber | 整数 (int) | 如果由中间 NAT 设备报告,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcOriginalUserType | 字符串 | 原始目标用户类型(如果由报告设备提供)。 |
| SrcPackets | 长整型 | 从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 如果聚合了事件,则 SrcPackets 为所有聚合会话的总和。 |
| SrcPortNumber | 整数 (int) | 发起连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcSubscriptionId | 字符串 | 源设备所属的云平台订阅 ID。 SrcSubscriptionId 映射到 Azure 上的订阅 ID 和映射到 AWS 上的帐户 ID。 |
| SrcUserId | 字符串 | 源用户的唯一的、计算机可读的字母数字表示形式。 |
| SrcUserIdType | 字符串 | SrcUserId 字段中存储的 ID 的类型。 |
| SrcUsername | 字符串 | 源用户名,包括域信息(如果可用)。 |
| SrcUsernameType | 字符串 | 指定 SrcUsername 字段中存储的用户名的类型。 |
| SrcUserType | 字符串 | 源用户的类型。 |
| SrcVlanId | 字符串 | 与源设备相关的 VLAN ID。 |
| SrcZone | 字符串 | 源的网络区域,由报告设备定义。 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| TcpFlagsAck | 布尔 | 报告的 TCP ACK 标志。 确认标志用于确认成功接收数据包。 如上图所示,接收方在三向握手过程中的第二步发送 ACK 和 SYN,以告知发送方它收到了其初始数据包。 |
| TcpFlagsFin | 布尔 | 报告的 TCP FIN 标志。 完成标志表示发送方没有更多数据。 因此,它在从发送方发送的最后一个数据包中使用。 |
| TcpFlagsPsh | 布尔 | 报告的 TCP PSH 标志。 推送标志在某些方面类似于 URG 标志,会告知接收方在接收数据包时处理这些数据包,而不是缓冲它们。 |
| TcpFlagsRst | 布尔 | 报告的 TCP RST 标志。 当数据包发送到不应收到数据包的特定主机时,重置标志会从接收方发送到发送方。 |
| TcpFlagsSyn | 布尔 | 报告的 TCP SYN 标志。 同步标志用作在两台主机之间建立三向握手的第一步。 只有来自发送方和接收方的第一个数据包才应设置此标志。 |
| TcpFlagsUrg | 布尔 | 报告的 TCP URG 标志。 紧急标志用于通知接收方在处理所有其他数据包之前处理紧急数据包。 收到所有已知紧急数据后,接收方会收到通知。 有关更多详细信息,请参阅 RFC 6093。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| 威胁类别 | 字符串 | 在网络会话中识别到的威胁或恶意软件的类别。 |
| ThreatConfidence | 整数 (int) | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatField | 字符串 | 已识别出威胁的字段。 该值为 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
| ThreatFirstReportedTime | 日期/时间 | IP 地址或域首次被识别为威胁的时间。 |
| 威胁编号 (ThreatId) | 字符串 | 在网络会话中识别到的威胁或恶意软件的 ID。 |
| ThreatIpAddr | 字符串 | 已识别出威胁的 IP 地址。 字段 ThreatField 包含 ThreatIpAddr 表示字段的名称。 |
| 威胁处于活跃状态 | 布尔 | True ID 已识别威胁被视为活动威胁。 |
| ThreatLastReportedTime | 日期/时间 | 上次将 IP 地址或域识别为威胁的时间。 |
| 威胁名称 | 字符串 | 在网络会话中识别到的威胁或恶意软件的名称。 |
| ThreatOriginalConfidence | 字符串 | 由报告设备报告的、所识别威胁的初始可信度水平。 |
| ThreatOriginalRiskLevel | 字符串 | 报告设备报告的风险级别。 |
| 威胁风险级别 | 整数 (int) | 与会话关联的风险级别。 级别是介于 0 到 100 之间的数字。 |
| TimeGenerated | 日期/时间 | 时间戳 (UTC),反映生成事件的时间。 |
| 类型 | 字符串 | 表的名称 |