Traffic Analytics bietet WHOIS-Daten und einen geografischen Standort für alle öffentlichen IP-Adressen in der Umgebung des Kunden. Für schädliche IP-Adressen werden DNS-Domänen, Bedrohungstypen und Threadbeschreibungen gemäß den Microsoft Security Intelligence-Lösungen bereitgestellt. IP-Adressdetails werden in Ihrem Log Analytics-Arbeitsbereich veröffentlicht, sodass Sie benutzerdefinierte Abfragen erstellen und Warnungen dafür vorsehen können. Über das Traffic Analytics-Dashboard können Sie auch auf vorab aufgefüllte Abfragen zugreifen.
Tabellenattribute
attribute
Wert
Ressourcentypen
-
Kategorien
Network
Lösungen
LogManagement
Standardprotokoll
No
Erfassungszeittransformation
Ja
Beispielabfragen
-
Spalten
Spalte
Type
Beschreibung
_BilledSize
real
Die Datensatzgröße in Bytes.
DnsDomain
Zeichenfolge
Nur für schädliche IP-Adressen: Domänenname, der dieser IP-Adresse zugeordnet ist.
FaSchemaVersion
Zeichenfolge
Schemaversion.
FlowIntervalEndTime
datetime
Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowIntervalStartTime
datetime
Startzeit des Verarbeitungsintervalls des Datenflussprotokolls. Dies ist die Zeit, aus der das Flussintervall gemessen wird.
FlowType
Zeichenfolge
Kann AzurePublic/ExternalPublic/MaliciousFlow sein.
IP
Zeichenfolge
Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
_IsBillable
Zeichenfolge
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
Location
Zeichenfolge
Für Azure Public IP: Azure region of virtual network/network interface/virtual machine to which the IP gehört OR Global for IP 168.63.129.16. Für externe öffentliche IP und bösartige IP: 2-Buchstaben-Ländercode, in dem sich IP befindet (ISO 3166-1 alpha-2).
Port
int
Nur für böswillige IPs: Port, der dieser IP zugeordnet ist.
PublicIpDetails
Zeichenfolge
Für AzurePublic IP: Azure Service besitzt die IP ODER "Microsoft Virtual Public IP" für IP 168.63.129.16 . Für externe öffentliche/böswillige IP-Adressen: WhoIS-Informationen zur IP-Adresse
SourceSystem
Zeichenfolge
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
Untertyp
Zeichenfolge
Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, andere Werte von SubType_s sind für interne Arbeiten des Produkts.
TenantId
Zeichenfolge
Die ID des Log Analytics-Arbeitsbereichs.
ThreatDescription
Zeichenfolge
Nur für schädliche IP-Adressen: Beschreibung der Bedrohung durch die schädliche IP-Adresse.
ThreatType
Zeichenfolge
Nur für böswillige IPs: Eine der Bedrohungen aus der Liste der aktuell zulässigen Werte.
TimeGenerated
datetime
Der Zeitpunkt, zu dem die Daten in den Log Analytics-Arbeitsbereich aufgenommen werden.
type
Zeichenfolge
Der Name der Tabelle.
url
Zeichenfolge
Nur für böswillige IPs: Url, die dieser IP zugeordnet ist.