Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di normalizzazione della sessione Web ASIM (Advanced Security Information Model) descrive un'attività di rete IP. Ad esempio, le attività di rete IP vengono segnalate da server Web, proxy Web e gateway di sicurezza Web.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/websessionlogs |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione del tempo di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize | autentico | Dimensioni del record in byte |
| DstAppId | corda | ID dell'applicazione di destinazione, come segnalato dal dispositivo di report. |
| DstAppName | corda | Nome dell'applicazione di destinazione. |
| DstAppType | corda | Tipo dell'applicazione di destinazione. |
| DstBytes | lungo | Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. Se l'evento è aggregato, DstBytes corrisponde alla somma di tutte le sessioni aggregate. |
| DstDeviceType | corda | Tipo del dispositivo di destinazione. |
| DstDomain | corda | Dominio del dispositivo di destinazione. |
| DstDomainType | corda | Tipo di DstDomain. |
| DstDvcId | corda | ID del dispositivo di destinazione. |
| DstDvcIdType | corda | Tipo di DstDvcId. |
| DstDvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScope corrisponde a una sottoscrizione su Azure e a un account su AWS. |
| DstDvcScopeId | corda | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DstFQDN | corda | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
| DstGeoCity | corda | Città associata all'indirizzo IP di destinazione. |
| DstGeoCountry | corda | Paese associato all'indirizzo IP di destinazione. |
| DstGeoLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| Regione Geografica DST | corda | L'area o lo stato all'interno di un paese associato all'indirizzo IP di destinazione. |
| DstHostname | corda | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
| DstIpAddr | corda | Indirizzo IP della connessione o della destinazione della sessione. |
| DstMacAddr | corda | Indirizzo MAC dell'interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. |
| DstNatIpAddr | corda | DstNatIpAddr rappresenta uno dei seguenti: indirizzo originale del dispositivo di destinazione se è stata usata la conversione degli indirizzi di rete o l'indirizzo IP usato dal dispositivo intermedio per la comunicazione con l'origine. |
| DstNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con l'origine. |
| DstOriginalUserType | corda | Tipo di utente di destinazione originale, se fornito dall'origine. |
| DstPackets | lungo | Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, DstPackets corrisponde alla somma di tutte le sessioni aggregate. |
| DstPortNumber | INT | Porta IP di destinazione. |
| DstUserId | corda | Rappresentazione univoca, alfanumerica e leggibile dalla macchina dell'utente di destinazione. |
| DstUserIdType | corda | Tipo dell'ID archiviato nel campo DstUserId. |
| DstUsername | corda | Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. |
| DstUsernameType | corda | Specifica il tipo di nome utente archiviato nel campo DstUsername. |
| DstUserType | corda | Tipo di utente di destinazione. |
| Dvc | corda | Identificatore univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcAction | corda | Azione eseguita nella sessione Web. |
| DvcDomain | corda | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | corda | Tipo di DvcDomain. I valori possibili includono 'Windows' e 'FQDN'. |
| DvcFQDN | corda | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname | corda | Nome host del dispositivo che segnala l'evento. |
| DvcId | corda | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType | corda | Il tipo di DvcId. |
| DvcIpAddr | corda | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcOriginalAction | corda | Il DvcAction originale fornito dal dispositivo di segnalazione. |
| Conteggio eventi | INT | Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| Ora di Fine Evento | data e ora | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| Messaggio dell'Evento | corda | Messaggio o descrizione generali. |
| DettagliOriginaliDelRisultatoDell'Evento | corda | Dettagli del risultato originale forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalSeverity | corda | Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalSubType | corda | Sottotipo o ID dell'evento originale, se specificato dall'origine. Ad esempio, questo campo verrà usato per archiviare il tipo di accesso di Windows originale. Questo valore viene usato per derivare EventSubType, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalType | corda | Tipo di evento o ID originale, se specificato dall'origine. |
| EventOriginalUid | corda | ID univoco del record originale, se specificato dall'origine. |
| Proprietario dell'Evento | corda | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | corda | Prodotto che genera l'evento. |
| EventProductVersion | corda | Versione del prodotto che genera l'evento. |
| EventReportUrl | corda | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| Risultato dell'evento | corda | Il risultato dell'evento è rappresentato da uno dei seguenti valori: Successo, Parziale, Fallimento, NA (Non Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso è derivato da altri campi evento, ad esempio il campo EventResultDetails. |
| Dettagli dei Risultati dell'Evento | corda | Codice di stato HTTP. |
| EventSchemaVersion | corda | La versione dello schema. |
| EventSeverity | corda | Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
| OraInizioEvento | data e ora | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubtype | corda | Descrizione aggiuntiva del tipo di evento, se applicabile. |
| Tipo di Evento | corda | Operazione segnalata dal record. |
| EventVendor | corda | Fornitore del prodotto che genera l'evento. |
| Tipo di contenuto del file | corda | Per i caricamenti HTTP, il tipo di contenuto del file caricato. |
| FileMD5 | corda | Per i caricamenti HTTP, l'hash MD5 del file caricato. |
| Nome del file | corda | Per i caricamenti HTTP, nome del file caricato. |
| FileSHA1 | corda | Per i caricamenti HTTP, l'hash SHA1 del file caricato. |
| FileSHA256 | corda | Per i caricamenti HTTP, l'hash SHA256 del file caricato. |
| FileSHA512 | corda | Per i caricamenti HTTP, l'hash SHA512 del file caricato. |
| Dimensione del file | INT | Per i caricamenti HTTP, le dimensioni in byte del file caricato. |
| HttpContentFormat | corda | Parte del formato del contenuto di HttpContentType. |
| HttpContentType | corda | Intestazione del tipo di contenuto Risposta HTTP. |
| HttpHost | corda | Il server Web virtuale a cui è indirizzata la richiesta HTTP. |
| Riferimento HTTP | corda | Intestazione del referrer HTTP. |
| HttpRequestMethod | corda | Metodo HTTP. |
| Tempo di richiesta HTTP | INT | Quantità di tempo, in millisecondi, necessaria per inviare la richiesta al server. |
| HttpRequestXff | corda | Intestazione HTTP X-Forwarded-For. |
| Tempo di risposta HTTP | INT | Quantità di tempo, in millisecondi, necessaria per ricevere una risposta nel server. |
| HttpUserAgent (Agente utente HTTP) | corda | Intestazione dell'agente utente HTTP. |
| Versione HTTP | corda | Versione della richiesta HTTP. |
| _ÈFatturabile | corda | Specifica se l'ingestione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| Protocollo di Applicazione di Rete | corda | Protocollo del livello applicazione usato dalla connessione o dalla sessione. |
| NetworkBytes | lungo | Numero di byte inviati in entrambe le direzioni. Se esistono sia BytesReceived che BytesSent, BytesTotal deve essere uguale alla somma. Se l'evento è aggregato, NetworkBytes corrisponde alla somma di tutte le sessioni aggregate. |
| CronologiaConnessioniDiRete | corda | Flag TCP e altre informazioni potenziali sull'intestazione IP. |
| Direzione della Rete | corda | Direzione della connessione o della sessione. |
| Durata della Rete | INT | Quantità di tempo, espressa in millisecondi, per il completamento della sessione Web o della connessione. |
| NetworkIcmpCode | INT | Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. |
| NetworkIcmpType | corda | Per un messaggio ICMP, la rappresentazione testuale del tipo di messaggio ICMP, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. |
| Pacchetti di rete | lungo | Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent, BytesTotal deve essere uguale alla somma. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, NetworkPackets è la somma su tutte le sessioni aggregate. |
| protocollo di rete | corda | Protocollo IP usato dalla connessione o dalla sessione, come indicato nell'assegnazione del protocollo IANA, che in genere è TCP, UDP o ICMP. |
| VersioneDelProtocolloDiRete | corda | Versione di NetworkProtocol. |
| NetworkSessionId | corda | Identificatore di sessione segnalato dal dispositivo di report. |
| _ResourceId | corda | Identificatore univoco della risorsa a cui è associato il record. |
| Regola | corda | NetworkRuleName o NetworkRuleNumber. |
| NomeDellaRegola | corda | Nome o ID della regola su cui è stato deciso DvcAction. Esempio: AnyAnyDrop. |
| NumeroRegola | INT | Numero della regola in base alla quale è stata presa la decisione su DvcAction. Esempio: 23. |
| SourceSystem | corda | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, per la connessione diretta o per Operations Manager, Linux per tutti gli agenti Linux o Azure per la Diagnostica di Azure. |
| SrcAppId | corda | ID dell'applicazione di origine, come segnalato dal dispositivo di report. |
| SrcAppName | corda | Nome dell'applicazione di origine. |
| SrcAppType | corda | Tipo dell'applicazione di origine. |
| SrcBytes | lungo | Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. Se l'evento è aggregato, SrcBytes corrisponde alla somma di tutte le sessioni aggregate. |
| SrcDeviceType | corda | Tipo del dispositivo di origine. |
| SrcDomain | corda | Dominio del dispositivo di origine. |
| SrcDomainType | corda | Tipo di SrcDomain. |
| SrcDvcId | corda | ID del dispositivo di origine. |
| SrcDvcIdType | corda | Tipo di SrcDvcId. |
| SrcDvcScope | corda | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. DvcScope corrisponde a una sottoscrizione su Azure e a un account su AWS. |
| SrcDvcScopeId | corda | ID del campo della piattaforma cloud a cui appartiene il dispositivo sorgente. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcFQDN | corda | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. |
| SrcGeoCity | corda | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | corda | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | autentico | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | autentico | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | corda | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname | corda | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, può archiviare l'indirizzo IP pertinente. |
| SrcIpAddr | corda | Indirizzo IP da cui ha avuto origine la connessione o la sessione. |
| SrcMacAddr | corda | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. |
| SrcNatIpAddr | corda | SrcNatIpAddr rappresenta l'indirizzo originale del dispositivo di origine se è stata usata la conversione degli indirizzi di rete o l'indirizzo IP utilizzato dal dispositivo intermedio per la comunicazione con la destinazione. |
| SrcNatPortNumber | INT | Se segnalato da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. |
| SrcOriginalUserType | corda | Il tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
| SrcPackets | lungo | Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, SrcPackets corrisponde alla somma di tutte le sessioni aggregate. |
| SrcPortNumber | INT | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. |
| SrcProcessGuid | corda | Identificatore univoco generato (GUID) del processo di origine. |
| SrcProcessId | corda | ID processo (PID) del processo di origine. |
| SrcProcessName | corda | Nome del processo di origine. |
| SrcUserId | corda | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di origine. |
| SrcUserIdType | corda | Tipo dell'ID archiviato nel campo SrcUserId. |
| SrcUsername | corda | Nome utente di origine, incluse le informazioni sul dominio, se disponibili. |
| SrcUsernameType | corda | Specifica il tipo di nome utente archiviato nel campo SrcUsername. |
| SrcUserScope | corda | L'ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserScopeId | corda | ID dell'ambito, ad esempio il tenant di Azure AD, in cui sono definiti SrcUserId e SrcUsername. |
| SrcUserType | corda | Tipo dell'utente di origine. |
| _SubscriptionId (ID sottoscrizione) | corda | Identificatore univoco della sottoscrizione a cui è associato il record |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| Categoria di minaccia | corda | Categoria della minaccia o del malware identificato nella sessione Web. |
| Livello di fiducia nella minaccia | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | corda | Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
| TempoDellaPrimaSegnalazioneDiMinaccia | data e ora | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId (Identificatore di Minaccia) | corda | ID della minaccia o del malware identificato nella sessione Web. |
| Indirizzo IP di minaccia | corda | Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatIpAddr. |
| La minaccia è attiva | Bool | True ID la minaccia identificata è considerata una minaccia attiva. |
| TempoUltimaSegnalazioneMinaccia | data e ora | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| Nome della Minaccia | corda | Nome della minaccia o del malware identificato nella sessione Web. |
| MinacciaOriginaleFiducia | corda | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| Livello di Rischio Originale della Minaccia | corda | Livello di rischio segnalato dal dispositivo di report. |
| Livello di Rischio di Minaccia | INT | Livello di rischio associato alla sessione. Il livello è un numero compreso tra 0 e 100. |
| TimeGenerated | data e ora | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Tipo | corda | Nome della tabella |
| URL | corda | URL completo della richiesta HTTP, inclusi i parametri. |
| CategoriaURL | corda | Raggruppamento definito di un URL o della parte di dominio dell'URL. |
| UrlOriginal | corda | Valore originale dell'URL, quando l'URL è stato modificato dal dispositivo di report e vengono forniti entrambi i valori. |