Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de normalização da sessão da Web do ASIM (Advanced Security Information Model) - descreve uma atividade de rede IP. Por exemplo, as atividades de rede IP são relatadas por servidores Web, proxies Web e gateways de segurança da Web.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/websessionlogs |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Sim |
| Transformação durante a ingestão | Sim |
| Amostras de Consulta | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| CamposAdicionais | dinâmico | Informações adicionais, representadas usando pares de chave/valor fornecidos pela origem que não são mapeados para ASim. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| DstAppId | cadeia de caracteres | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| DstAppName | cadeia de caracteres | O nome do aplicativo de destino. |
| DstAppType | cadeia de caracteres | O tipo do aplicativo de destino. |
| DstBytes | long | O número de bytes enviados do destino para a origem da conexão ou sessão. Se o evento for agregado, DstBytes será a soma de todas as sessões agregadas. |
| DstDeviceType | cadeia de caracteres | O tipo do dispositivo de destino. |
| DstDomain | cadeia de caracteres | O domínio do dispositivo de destino. |
| DstDomainType | cadeia de caracteres | O tipo de DstDomain. |
| DstDvcId | cadeia de caracteres | A ID do dispositivo de destino. |
| DstDvcIdType | cadeia de caracteres | O tipo de DstDvcId. |
| DstDvcScope | cadeia de caracteres | O escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScope mapeia uma assinatura no Azure e uma conta no AWS. |
| DstDvcScopeId | cadeia de caracteres | O ID do escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta no AWS. |
| DstFQDN | cadeia de caracteres | O nome do host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
| DstGeoCity | cadeia de caracteres | A cidade associada ao endereço IP de destino. |
| DstGeoCountry | cadeia de caracteres | O país associado ao endereço IP de destino. |
| DstGeoLatitude | verdadeiro | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude | verdadeiro | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion | cadeia de caracteres | A região ou o estado em um país associado ao endereço IP de destino. |
| DstHostname | cadeia de caracteres | O nome do host do dispositivo de destino, excluindo informações de domínio. |
| DstIpAddr | cadeia de caracteres | O endereço IP da conexão ou do destino da sessão. |
| DstMacAddr | cadeia de caracteres | O endereço MAC da interface de rede usado pelo dispositivo de destino para a conexão ou a sessão. |
| DstNatIpAddr | cadeia de caracteres | O DstNatIpAddr representa um dos seguintes itens: O endereço original do dispositivo de destino se a conversão de endereço de rede tiver sido usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com a origem. |
| DstNatPortNumber | INT | Se relatado por um dispositivo NAT intermediário, a porta usada pelo dispositivo NAT para a comunicação com a origem. |
| DstOriginalUserType | cadeia de caracteres | O tipo de usuário de destino original, se fornecido pela fonte. |
| DstPackets | longo | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, DstPackets será a soma de todas as sessões agregadas. |
| DstPortNumber | INT | A porta do IP de destino. |
| DstUserId | cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. |
| DstUserIdType | cadeia de caracteres | O tipo da ID armazenada no campo DstUserId. |
| DstUsername | cadeia de caracteres | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. |
| DstUsernameType | cadeia de caracteres | Especifica o tipo do nome de usuário armazenado no campo DstUsername. |
| DstUserType | cadeia de caracteres | O tipo de usuário de destino. |
| Dvc | cadeia de caracteres | Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcAction | cadeia de caracteres | A ação executada na sessão web. |
| DvcDomain | cadeia de caracteres | O domínio do dispositivo que relata o evento. |
| DvcDomainType | cadeia de caracteres | O tipo de DvcDomain. Os valores possíveis incluem 'Windows' e 'FQDN'. |
| DvcFQDN | cadeia de caracteres | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcHostname | cadeia de caracteres | O nome do host do dispositivo que relata o evento. |
| DvcId | cadeia de caracteres | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcIdType | cadeia de caracteres | O tipo de DvcId. |
| DvcIpAddr | cadeia de caracteres | O endereço IP do dispositivo que relata o evento. |
| DvcOriginalAction | cadeia de caracteres | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| Contagem de Eventos | INT | Esse valor é usado quando a origem permite a agregação e um registro pode representar vários eventos. |
| Hora de Término do Evento | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| Mensagem de Evento | cadeia de caracteres | Uma mensagem ou descrição geral. |
| DetalhesDoResultadoOriginalDoEvento | cadeia de caracteres | Os detalhes do resultado original fornecidos pela origem. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados por esquema. |
| EventOriginalSeverity | cadeia de caracteres | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| SubTipoOriginalDoEvento | cadeia de caracteres | O subtipo ou a ID do evento original, se fornecido pela origem. Por exemplo, esse campo será usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados por esquema. |
| TipoOriginalDoEvento | cadeia de caracteres | O ID ou tipo de evento original, se fornecido pela origem. |
| UidOriginalDoEvento | cadeia de caracteres | Uma ID exclusiva do registro original, se fornecida pela origem. |
| Organizador do Evento | cadeia de caracteres | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
| EventProduct | cadeia de caracteres | O produto que gera o evento. |
| EventProductVersion | cadeia de caracteres | A versão do produto que gera o evento. |
| UrlDoRelatórioDeEvento | cadeia de caracteres | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
| ResultadoDoEvento | cadeia de caracteres | O resultado do evento, representado por um dos seguintes valores: Sucesso, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| DetalhesDoResultadoDoEvento | cadeia de caracteres | O código de status do HTTP. |
| EventSchemaVersion | cadeia de caracteres | A versão do esquema. |
| EventSeverity | cadeia de caracteres | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| HoraDeInícioDoEvento | DATETIME | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| Subtipo de Evento | cadeia de caracteres | Descrição adicional do tipo de evento, se aplicável. |
| TipoDeEvento | cadeia de caracteres | A operação relatada pelo registro. |
| EventVendor | cadeia de caracteres | O fornecedor do produto que gera o evento. |
| Tipo de Conteúdo do Arquivo | cadeia de caracteres | Para uploads HTTP, o tipo de conteúdo do arquivo carregado. |
| FileMD5 | cadeia de caracteres | Para uploads HTTP, o hash MD5 do arquivo carregado. |
| Nome do Arquivo | cadeia de caracteres | Para uploads HTTP, o nome do arquivo carregado. |
| FileSHA1 | cadeia de caracteres | Para envios HTTP, o hash SHA1 do arquivo enviado. |
| FileSHA256 | cadeia de caracteres | Para uploads HTTP, o hash SHA256 do arquivo carregado. |
| FileSHA512 | cadeia de caracteres | Para uploads HTTP, o hash SHA512 do arquivo carregado. |
| Tamanho do arquivo | INT | Para uploads HTTP, o tamanho em bytes do arquivo carregado. |
| Formato de Conteúdo HTTP | cadeia de caracteres | A parte relacionada ao formato de conteúdo do HttpContentType |
| HttpContentType | cadeia de caracteres | O cabeçalho de tipo de conteúdo da resposta HTTP. |
| HttpHost | cadeia de caracteres | O servidor Web virtual que a solicitação HTTP visa. |
| Referenciador HTTP (HttpReferrer) | cadeia de caracteres | O cabeçalho do referenciador HTTP. |
| Método de Requisição HTTP | cadeia de caracteres | O método HTTP. |
| HttpRequestTime | INT | A quantidade de tempo, em milissegundos, que levou para enviar a solicitação ao servidor. |
| HttpRequestXff | cadeia de caracteres | O cabeçalho HTTP X-Forwarded-For. |
| Tempo de Resposta HTTP | INT | A quantidade de tempo, em milissegundos, que levou para receber uma resposta no servidor. |
| Agente de Usuário HTTP | cadeia de caracteres | O cabeçalho do agente do usuário HTTP. |
| HttpVersion | cadeia de caracteres | A versão da solicitação HTTP. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| Protocolo de Aplicação em Rede | cadeia de caracteres | O protocolo de camada de aplicativo usado pela conexão ou sessão. |
| NetworkBytes | longo | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. Se o evento for agregado, NetworkBytes será a soma de todas as sessões agregadas. |
| Histórico de Conexão de Rede | cadeia de caracteres | Sinalizadores TCP e outras informações potenciais de cabeçalho IP. |
| Direção da Rede | cadeia de caracteres | A direção da conexão ou sessão. |
| Duração da Rede | INT | A quantidade de tempo, em milissegundos, para a conclusão da sessão da Web ou conexão. |
| NetworkIcmpCode | INT | Para uma mensagem ICMP, o valor numérico do tipo de mensagem ICMP, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. |
| NetworkIcmpType | cadeia de caracteres | Para uma mensagem ICMP, a representação de texto do tipo de mensagem ICMP, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. |
| Pacotes de Rede | longo | O número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets será a soma de todas as sessões agregadas. |
| Protocolo de Rede | cadeia de caracteres | O protocolo IP usado pela conexão ou sessão, conforme listado na atribuição de protocolo IANA, que normalmente é TCP, UDP ou ICMP. |
| VersãoDoProtocoloDeRede | cadeia de caracteres | A versão do NetworkProtocol. |
| ID da Sessão de Rede | cadeia de caracteres | O identificador de sessão, conforme relatado pelo dispositivo de geração de relatórios. |
| _IdentificadorDeRecurso | cadeia de caracteres | Identificador exclusivo do recurso ao qual o registro está associado |
| Regra | cadeia de caracteres | NetworkRuleName ou NetworkRuleNumber |
| Nome da Regra | cadeia de caracteres | O nome ou a ID da regra pela qual o DvcAction foi decidido. Exemplo: AnyAnyDrop |
| Número da Regra | INT | O número da regra pela qual a DvcAction foi decidida. Exemplo: 23 |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para o agente do Windows, com conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| SrcAppId | cadeia de caracteres | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| SrcAppName | cadeia de caracteres | O nome do aplicativo de origem. |
| SrcAppType | cadeia de caracteres | O tipo do aplicativo de origem. |
| SrcBytes | long | O número de bytes enviados da origem para o destino da conexão ou sessão. Se o evento for agregado, SrcBytes será a soma de todas as sessões agregadas. |
| SrcDeviceType | cadeia de caracteres | O tipo do dispositivo de origem. |
| SrcDomain | cadeia de caracteres | O domínio do dispositivo de origem. |
| SrcDomainType | cadeia de caracteres | O tipo de SrcDomain. |
| SrcDvcId | cadeia de caracteres | A ID do dispositivo de origem. |
| SrcDvcIdType | cadeia de caracteres | O tipo de SrcDvcId. |
| SrcDvcScope | cadeia de caracteres | O escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScope mapeia uma assinatura no Azure e uma conta no AWS. |
| SrcDvcScopeId | cadeia de caracteres | O ID do escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta no AWS. |
| SrcFQDN | cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. |
| SrcGeoCity | cadeia de caracteres | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | cadeia de caracteres | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | verdadeiro | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | verdadeiro | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | cadeia de caracteres | A região em um país associado ao endereço IP de origem. |
| SrcHostname | cadeia de caracteres | O nome do host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, pode armazenar o endereço IP relevante. |
| SrcIpAddr | cadeia de caracteres | O endereço IP em que a conexão ou sessão foi originada. |
| SrcMacAddr | cadeia de caracteres | O endereço MAC da interface de rede de onde a conexão ou sessão se originou. |
| SrcNatIpAddr | cadeia de caracteres | O SrcNatIpAddr representa um dos seguintes itens: O endereço original do dispositivo de origem se a conversão de endereço de rede foi usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com o destino. |
| SrcNatPortNumber | INT | Se relatado por um dispositivo NAT intermediário, a porta usada pelo dispositivo NAT para a comunicação com o destino. |
| SrcOriginalUserType | cadeia de caracteres | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
| SrcPackets | longo | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, SrcPackets será a soma de todas as sessões agregadas. |
| SrcPortNumber | INT | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. |
| SrcProcessGuid | cadeia de caracteres | Um identificador exclusivo gerado (GUID) do processo de origem. |
| SrcProcessId | cadeia de caracteres | A ID do processo (PID) do processo de origem. |
| SrcProcessName | cadeia de caracteres | O nome do processo de origem. |
| SrcUserId | cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. |
| SrcUserIdType | cadeia de caracteres | O tipo da ID armazenada no campo SrcUserId. |
| SrcUsername | cadeia de caracteres | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
| SrcUsernameType | cadeia de caracteres | Especifica o tipo do nome de usuário armazenado no campo SrcUsername. |
| SrcUserScope | cadeia de caracteres | O escopo, como o locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserScopeId | cadeia de caracteres | A ID do escopo, como o locatário do Azure AD, no qual SrcUserId e SrcUsername são definidos. |
| SrcUserType | cadeia de caracteres | O tipo do usuário de origem. |
| _ID de Assinatura | cadeia de caracteres | Identificador exclusivo da assinatura à qual o registro está associado |
| TenantId (ID do Inquilino) | cadeia de caracteres | O ID do espaço de trabalho do Log Analytics |
| Categoria de Ameaça | cadeia de caracteres | A categoria da ameaça ou malware identificado na sessão da web. |
| ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | cadeia de caracteres | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ID de Ameaça | cadeia de caracteres | O ID da ameaça ou malware identificado na sessão da web. |
| ThreatIpAddr | cadeia de caracteres | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| AmeaçaEstáAtiva | bool | True ID, a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| Nome da Ameaça | cadeia de caracteres | O nome da ameaça ou malware identificado na sessão da web. |
| ThreatOriginalConfidence | cadeia de caracteres | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| NívelOriginalDeRiscoDaAmeaça | cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| NívelDeRiscoDeAmeaça | INT | O nível de risco associado à sessão. O nível é um número entre 0 e 100. |
| TimeGenerated | DATETIME | O timestamp (UTC) que reflete o momento em que o evento foi gerado. |
| Tipo | cadeia de caracteres | O nome da tabela |
| URL | cadeia de caracteres | A URL de solicitação HTTP completa, incluindo parâmetros. |
| Categoria de URL | cadeia de caracteres | O agrupamento definido de uma URL ou a parte do domínio da URL. |
| UrlOriginal | cadeia de caracteres | O valor original da URL, quando a URL foi modificada pelo dispositivo de relatório e ambos os valores são fornecidos. |