Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации сетевого сеанса Microsoft Sentinel представляет собой действие IP-сети, например сетевые подключения и сетевые сеансы. О таких событиях сообщается, например, операционными системами, маршрутизаторами, брандмауэрами и системами предотвращения вторжения.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/нормализованнаясессиясети |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование времени загрузки данных | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Дополнительные поля | по строкам | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| DstAppId | строка | Идентификатор приложения назначения, который сообщается устройством отчетов. |
| DstAppName | строка | Введите имя приложения назначения. |
| DstAppType | строка | Тип приложения назначения. |
| DstBytes | длинный | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам. |
| DstDescription | строка | Описательный текст, связанный с назначением. |
| ТипУстройстваDst | строка | Тип устройства назначения. |
| DstDomain | строка | Домен устройства назначения. |
| DstDomainType | строка | Тип DstDomain. |
| DstDvcId | строка | Идентификатор устройства назначения. |
| DstDvcIdType | строка | Тип DstDvcId. |
| DstFQDN | строка | Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity | строка | Город, связанный с IP-адресом назначения. |
| DstGeoCountry | строка | Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude | настоящий | Широта географической координаты, связанная с IP-адресом назначения. |
| ДстГеоДолгота | настоящий | Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion | строка | Регион или штат в стране, связанной с IP-адресом назначения. |
| DstHostname | строка | Имя узла устройства назначения, исключая сведения о домене. |
| DstInterfaceGuid | строка | Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения. |
| DstInterfaceName | строка | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. |
| DstIpAddr | строка | IP-адрес подключения или назначения сеанса. |
| DstMacAddr | строка | MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. |
| DstNatIpAddr | строка | DstNatIpAddr представляет любой из следующих вариантов: оригинальный адрес конечного устройства, если использовался перевод сетевых адресов, или IP-адрес, используемый промежуточным устройством для связи с источником. |
| НомерПортаDstNat | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником. |
| DstOriginalUserType | строка | Начальный тип пользователя назначения, если он указан источником. |
| DstPackets | длинный | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам. |
| Номер целевого порта | INT | IP-порт назначения. |
| DstSubscriptionId (идентификатор подписки Dst) | строка | Идентификатор подписки на облачную платформу, к которой принадлежит устройство назначения. DstSubscriptionId сопоставляется с идентификатором подписки в Azure и с идентификатором учетной записи в AWS. |
| Идентификатор получателя (DstUserId) | строка | Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. |
| DstUserIdType | строка | Тип идентификатора, который хранится в поле DstUserId. |
| DstUsername | строка | Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. |
| DstUsernameType | строка | Указывает тип имени пользователя, хранимого в поле DstUsername. |
| DstUserType | строка | Тип пользователя назначения. |
| DstVlanId | строка | Идентификатор виртуальной ЛС, относящийся к устройству назначения. |
| DstZone | строка | Зона сети назначения, определенная на устройстве составления отчетов. |
| Dvc | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcAction | строка | Действие, выполняемое в сетевом сеансе. |
| DvcОписание | строка | Текст описания, связанный с устройством. Например: основной контроллер домена. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. Возможные значения включают "Windows" и "FQDN". |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcИмяХоста | строка | Имя узла устройства, сообщающее о событии. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInboundInterface | строка | Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к исходному устройству. |
| DvcInterface | строка | Сетевой интерфейс, на котором фиксировались данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное сообщившим устройством. |
| DvcOs | строка | Операционная система, запущенная на устройстве, сообщает о событии. |
| DvcOsVersion | строка | Версия операционной системы на устройстве, сообщающая о событии. |
| DvcOutboundInterface (интерфейс исходящих соединений Dvc) | строка | Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к устройству назначения. |
| DvcSubscriptionId | строка | Идентификатор подписки на облачную платформу, к которой принадлежит устройство. DvcSubscriptionId связывается с идентификатором подписки в Azure и с идентификатором учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которое сообщило о событии. Зона определяется передающим устройством. |
| КоличествоСобытий | INT | Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями. |
| ВремяОкончанияСобытия | дата и время | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Сообщение о событии | строка | Общее сообщение или описание. |
| Детали исходного результата события | строка | Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная сообщающим устройством. Это значение используется для получения EventSeverity. |
| ПодтипОригинальногоСобытия | строка | Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| ИсходныйТипСобытия | строка | Исходный идентификатор или тип события, если он указан источником. |
| СобытиеOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| EventProduct | строка | Продукт, создающий событие. |
| Версия продукта мероприятия | строка | Версия продукта, создающего событие. |
| URL отчета о событии | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| РезультатСобытия | строка | Результат события, представленный одним из следующих значений: успех, частичный успех, неудача, н/д (не применимо). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| ДеталиРезультатаСобытия | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion | строка | Версия схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| ВремяНачалаСобытия | дата и время | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Подтип события | строка | Дополнительное описание типа события, если применимо. |
| ТипСобытия | строка | Операция, отмеченная записью. |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| _ПодлежитУчету | строка | Указывает, подлежит ли обработка данных оплате. Если _IsBillable false прием не взимается в учетную запись Azure. |
| ПротоколСетевогоПриложения | строка | Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes | длинный | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем агрегированным сеансам. |
| ИсторияПодключенийСети | строка | Флаги TCP и другие возможные сведения о заголовке IP. |
| Направление сети | строка | Направление подключения или сеанса. |
| СетьДлительность | INT | Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения. |
| Код NetworkIcmp | INT | Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| ТипICMPСети | строка | Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| Сетевые пакеты | длинный | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем агрегированным сеансам. |
| Сетевой протокол | строка | IP-протокол, используемый подключением или сеансом, как указано в назначении протокола IANA, который обычно является TCP, UDP или ICMP. |
| ВерсияСетевогоПротокола | строка | Версия протокола сети. |
| Имя сетевого правила | строка | Имя или идентификатор правила, по которому было принято решение об DvcAction. |
| Номер правила сети | INT | Номер правила, по которому было принято решение об DvcAction. |
| ИдентификаторСетевойСессии | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для диагностики Azure. |
| SrcAppId | строка | Идентификатор исходного приложения, который сообщается передающим устройством. |
| SrcAppName | строка | Имя исходного приложения. |
| SrcAppType | строка | Тип исходного приложения. |
| SrcBytes | длинный | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам. |
| SrcDescription | строка | Описательный текст, связанный с источником. |
| ТипИсходногоУстройства | строка | Тип исходного устройства. |
| SrcDomain | строка | Домен исходного устройства. |
| ТипИсходногоДоменана | строка | Тип SrcDomain. |
| SrcDvcId | строка | Идентификатор исходного устройства. |
| SrcDvcIdType | строка | Тип идентификатора SrcDvcId. |
| SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| Страна происхождения (SrcGeoCountry) | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | настоящий | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude (источник географической долготы) | настоящий | Географическая долгота, связанная с исходным IP-адресом. |
| ИсточникГеоРегион | строка | Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname | строка | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может хранить соответствующий IP-адрес. |
| SrcInterfaceGuid | строка | GUID сетевого интерфейса, используемого на исходном устройстве. |
| SrcInterfaceName | строка | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. |
| SrcIpAddr | строка | IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr | строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| SrcNatIpAddr | строка | SrcNatIpAddr представляет любой из следующих вариантов: исходный адрес исходного устройства, если использовался перевод сетевых адресов или IP-адрес, используемый промежуточным устройством для связи с назначением. |
| Номер порта SrcNat (SrcNatPortNumber) | INT | Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| ИсходныйТипПользователя | строка | Исходный тип пользователя назначения, если он предоставляется устройством отчетов. |
| SrcPackets | длинный | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам. |
| НомерИсходногоПорта | INT | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcSubscriptionId | строка | Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcUserId | строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType | строка | Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername | строка | Имя исходного пользователя, включая сведения о домене, если они доступны. |
| ТипИмениПользователяSrc | строка | Указывает тип имени пользователя, хранимого в поле SrcUsername. |
| SrcТипПользователя | строка | Тип исходного пользователя. |
| ID исходного VLAN | строка | Идентификатор VLAN, относящийся к исходному устройству. |
| SrcZone | строка | Зона сети источника, определенная на устройстве составления отчетов. |
| _ИдентификаторПодписки | строка | Уникальный идентификатор подписки, с которой связана запись |
| TcpFlagsAck | булевая переменная (bool) | Сообщается флаг TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно на приведенной выше схеме, получатель отправляет ACK, а также SYN во втором шаге трехстороннего подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет. |
| TcpFlagsFin | булевая переменная (bool) | Сообщается флаг TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем. |
| TcpFlagsPsh | булевая переменная (bool) | Флаг TCP PSH был зафиксирован. Флаг push-отправки несколько похож на флаг URG и сообщает получателю обработать эти пакеты по мере их получения вместо буферизации. |
| TcpFlagsRst | булевая переменная (bool) | Сообщается о флаге TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал. |
| TcpFlagsSyn | булевая переменная (bool) | Сообщается флаг TCP SYN. Флаг синхронизации используется в качестве первого шага при создании трехстороннего подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя. |
| TcpFlagsUrg | булевая переменная (bool) | Сообщается флаг TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093. |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| Категория угроз | строка | Категория угрозы или вредоносной программы, определенной в сетевом сеансе. |
| Уверенность в угрозе | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| Поле Угроз | строка | Поле, для которого была обнаружена угроза. Значение может быть SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ВремяПервогоСообщенияОбУгрозе | дата и время | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| Идентификатор угрозы | строка | Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе. |
| Опасный IP-адрес | строка | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| Угроза активна | булевая переменная (bool) | Угроза, идентифицированная как истинная, считается активной угрозой. |
| Время последнего сообщения об угрозе | дата и время | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| Имя угрозы | строка | Имя угрозы или вредоносной программы, определенной в сетевом сеансе. |
| УгрозаОригинальнаяУверенность | строка | Исходный уровень доверия для обнаруженной угрозы, указанный устройством, сообщившим о ней. |
| Первоначальный уровень риска угрозы | строка | Уровень риска, сообщаемый устройством, выполняющим отчетность. |
| Уровень угрозы | INT | Связанный с сеансом уровень риска. Уровень — от 0 до 100. |
| Время генерации | дата и время | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |