Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сетевые подключения или сеансы, такие как зарегистрированные брандмауэрами, данными о сетевом трафике, NSG, Netflow, прокси-системами и шлюзами веб-безопасности.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование времени загрузки данных | Нет |
| Примеры запросов | Да |
Столбцы
| Столбец | Тип | Описание |
|---|---|---|
| ДополнительныеПоля | динамичный | Если соответствующий столбец в схеме не совпадает, дополнительные поля могут храниться в контейнере JSON. |
| _BilledSize | реальный | Размер записи в байтах |
| CloudAppId | строка | Идентификатор целевого приложения для HTTP-приложения, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| CloudAppName | строка | Имя целевого приложения для HTTP-приложения, определяемое прокси-сервером. |
| Операция облачного приложения | строка | Операция, выполненная пользователем в контексте целевого приложения для HTTP-приложения, определяемая прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| УровеньРискаОблачногоПриложения | строка | Уровень риска, связанный с HTTP-приложением, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| DstBytes | длинный | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. |
| DstDomainHostname | строка | Домен принимающего узла. |
| DstDvcDomain | строка | Домен устройства назначения. |
| DstDvcFqdn | строка | Полное квалифицированное доменное имя узла, на котором был создан журнал. |
| DstDvcHostname | строка | Имя устройства назначения. |
| DstDvcIpAddr | строка | Конечный IP-адрес устройства, который не связан напрямую с сетевым пакетом. |
| DstDvcMacAddr | строка | Конечный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. |
| DstGeoCity | строка | Город, связанный с IP-адресом назначения. |
| DstGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
| DstGeoLatitude | реальный | Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude | реальный | Долгота географической координаты, связанная с IP-адресом назначения |
| DstGeoRegion | строка | Регион в пределах страны, связанной с IP-адресом назначения. |
| DstInterfaceGuid | строка | GUID сетевого интерфейса, который использовался для запроса аутентификации. |
| DstInterfaceName | строка | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. |
| DstIpAddr | строка | IP-адрес подключения или назначения сеанса. |
| DstMacAddr | строка | MAC-адрес сетевого интерфейса, по которому завершается подключение или сеанс. |
| DstNatIpAddr | строка | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с источником. |
| DstNatPortNumber | инт | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с источником. |
| DstPackets | длинный | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. |
| DstPortNumber | INT | IP-порт назначения. |
| DstResourceId | строка | Идентификатор ресурса устройства назначения. |
| DstUserAadId | строка | Идентификатор объекта учетной записи Azure AD пользователя в конце сеанса. |
| DstUserDomain | строка | Домен или имя компьютера учетной записи в месте назначения сеанса. |
| DstUserName | строка | Имя пользователя идентичности, связанной с пунктом назначения сеанса. |
| DstUserSid | строка | Идентификатор пользователя удостоверения, связанного с назначением сеанса. Как правило, этот идентификатор используется для проверки подлинности сервера. |
| DstUserUpn | строка | Имя участника-пользователя, связанное с назначением сеанса. |
| DstZone | строка | Зона сети назначения, определенная на устройстве составления отчетов. |
| DvcAction | строка | Если передается промежуточным устройством, например брандмауэром, то это действие, предпринимаемое устройством. |
| DvcHostname | строка | Имя устройства, создающего сообщение. |
| DvcInboundInterface | строка | Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к исходному устройству. |
| DvcIpAddr | строка | IP-адрес устройства, создающего запись. |
| DvcMacAddr | строка | MAC-адрес сетевого интерфейса устройства составления отчетов, с которого было отправлено событие. |
| DvcOutboundInterface | строка | Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к устройству назначения. |
| КоличествоСобытий | INT | Число агрегированных событий, если применимо. |
| ВремяОкончанияСобытия | дата и время | Время окончания события. |
| Сообщение о событии | строка | Общее сообщение или описание, включенное или созданное из записи. |
| EventOriginalUid | строка | Идентификатор записи с устройства составления отчетов. |
| EventProduct | строка | Продукт, создающий событие. |
| EventProductVersion | строка | Версия продукта, создающего событие. |
| URL отчета о событии | строка | Ссылка на полный отчет, созданный учетным устройством. |
| EventResourceId | строка | Идентификатор ресурса устройства, создающего сообщение. |
| РезультатСобытия | строка | Результат, сообщаемый для действия. Пустое значение, если неприменимо. |
| ДеталиРезультатаСобытия | строка | Причина результата, сообщаемого в EventResult |
| EventSchemaVersion | строка | Версия схемы Azure Sentinel. |
| EventSeverity | строка | Если сообщенная активность имеет воздействие на безопасность, это указывает на степень серьезности такого воздействия. |
| ВремяНачалаМероприятия | дата и время | Время, в котором указано событие. |
| ПодтипСобытия | строка | Дополнительное описание типа, если применимо. |
| EventTimeIngested | дата и время | Время приема события в Azure Sentinel. Будет добавлено со стороны Azure Sentinel. |
| Тип события | строка | Тип собираемого события. |
| EventUid | строка | Уникальный идентификатор, используемый Sentinel для пометки строки. |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| Расширение файла | строка | Тип файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP. |
| FileHashMd5 | строка | Значение хэша MD5 файла, переданного через сетевые соединения в рамках протоколов. |
| Хеш файла Sha1 | строка | Значение хэша SHA1 для файла, переданного через сетевые подключения с использованием протоколов. |
| Хеш файла SHA256 | строка | Значение хэша SHA256 для файла, передаваемого через сетевые подключения с использованием протоколов. |
| FileHashSha512 | строка | Значение хэша SHA512 файла, переданного через сетевые подключения, используемые для протоколов. |
| FileMimeType | строка | Тип MIME файла, передаваемый по сетевым подключениям для таких протоколов, как FTP и HTTP. |
| Имя файла | строка | Имя файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP, которые предоставляют сведения об имени файла. |
| FilePath | строка | Полный путь к файлу, включая его имя. |
| РазмерФайла | INT | Размер файла в байтах, переданного по сетевым подключениям для протоколов. |
| Тип содержимого HTTP | строка | Заголовок, указывающий тип содержимого в ответах HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpReferrerOriginal | строка | Заголовок источника HTTP-ссылки для сетевых сеансов HTTP/HTTPS. |
| HttpRequestMethod | строка | Метод HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpRequestTime | INT | Время, затраченное на отправку запроса на сервер (если применимо). |
| HttpRequestXff | строка | Заголовок HTTP X-Forwarded-For для сетевых сеансов HTTP/HTTPS. |
| HttpResponseTime | INT | Время, затраченное на получение ответа на сервере (если применимо). |
| Код состояния HTTP | строка | Код состояния HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpUserAgentOriginal | строка | Заголовок HTTP-агента пользователя для сетевых сеансов HTTP/HTTPS. |
| HttpVersion | строка | Версия HTTP-запроса для сетевых подключений HTTP/HTTPS. |
| _IsBillable | строка | Указывает, облагается ли обработка данных оплатой. Когда _IsBillable false, обработка данных не оплачивается из учетной записи Azure. |
| ПротоколСетевогоПриложения | строка | Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes | длинный | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. |
| Направление сети | строка | Направление соединения или сеанса — внутрь организации или наружу из нее. |
| ДлительностьСети | INT | Время в миллисекундах для завершения сетевого сеанса или подключения. |
| NetworkIcmpCode | INT | Для сообщения ICMP — числовое значение типа сообщения ICMP (RFC 2780 или RFC 4443). |
| NetworkIcmpType | строка | Для сообщения ICMP — текстовое представление типа сообщения ICMP (RFC 2780 или RFC 4443). |
| Сетевые пакеты | длинный | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. |
| Сетевой протокол | строка | IP-протокол, используемый соединением или сеансом. Как правило, TCP, UDP или ICMP. |
| Имя сетевого правила | строка | Имя или идентификатор правила, с помощью которого было принято решение DeviceAction. |
| НомерСетевогоПравила | INT | Совпадаемый номер правила. |
| ИдентификаторСетевойСессии | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| SrcBytes | длинный | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. |
| SrcDvcDomain | строка | Домен устройства, из которого был инициирован сеанс. |
| SrcDvcFqdn | строка | Полное доменное имя узла, на котором был создан журнал. |
| SrcDvcHostname | строка | Имя исходного устройства. |
| SrcDvcIpAddr | строка | Исходный IP-адрес устройства, не связанного непосредственно с сетевым пакетом (полученный поставщиком или явным образом вычисленный). |
| SrcDvcMacAddr | строка | Исходный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. |
| SrcDvcModelName | строка | Модель исходного устройства. |
| SrcDvcModelNumber | строка | Номер модели исходного устройства. |
| SrcDvcOs | строка | ОС исходного устройства. |
| SrcDvcType | строка | Тип исходного устройства. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | реальный | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude | реальный | Географическая долгота, связанная с исходным IP-адресом. |
| ИсточникГеоРегион | строка | Регион в стране, связанный с исходным IP-адресом. |
| SrcInterfaceGuid | строка | GUID используемого сетевого интерфейса. |
| SrcInterfaceName | строка | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. |
| SrcIpAddr | строка | IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr | строка | MAC-адрес сетевого интерфейса, с которого инициировано подключение или сеанс. |
| SrcNatIpAddr | строка | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с пунктом назначения. |
| SrcNatPortNumber | INT | Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| SrcPackets | длинный | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. |
| НомерИсходногоПорта | INT | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcResourceId | строка | Идентификатор ресурса устройства, создающего сообщение. |
| SrcUserAadId | строка | Идентификатор объекта учетной записи Azure AD пользователя в конце сеанса. |
| SrcUserDomain | строка | Домен для учетной записи, инициирующей сеанс. |
| SrcUserName | строка | Имя пользователя личности, связанное с источником сеанса. Как правило, пользователь выполняет действие в клиенте. |
| SrcUserSid | строка | Идентификатор пользователя, связанный с идентификацией источника сеансов. Как правило, пользователь выполняет действие в клиенте. |
| SrcUserUpn | строка | UPN учетной записи, инициирующей сеанс. |
| SrcZone | строка | Зона сети источника, определенная на устройстве составления отчетов. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Категория угроз | строка | Категория угрозы, определяемая системой безопасности, например, веб-шлюзом безопасности или системой предотвращения вторжений (IPS), и связанная с этим сетевым сеансом. |
| Идентификатор угрозы | строка | Идентификатор угрозы, определяемый системой безопасности, например шлюзом веб-безопасности или системой предотвращения вторжений (IPS), и связанный с этим сетевым сеансом. |
| Имя угрозы | строка | Имя идентифицированной угрозы или вредоносных программ. |
| TimeGenerated | дата и время | Время возникновения события, сообщаемое источником составления отчетов. |
| Тип | строка | Имя таблицы. |
| Категория URL | строка | Группировка URL-адреса (или может быть просто на основе домена в URL-адресе), в зависимости от его категории (например, взрослый контент, новостные сайты, реклама, припаркованные домены и т. д.). |
| Имя хоста URL | строка | Доменная часть URL-адреса HTTP-запроса для сетевых сеансов HTTP/HTTPS. |
| UrlOriginal | строка | URL-адрес HTTP-запроса для сетевых сеансов HTTP/HTTPS. |