WireData
Netzwerkdaten, die von der WireData-Lösung mithilfe des Abhängigkeits-Agents und des Log Analytics-Agents gesammelt werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorien | Virtuelle Computer, Sicherheit |
| Lösungen | WireData, WireData2 |
| Standardprotokoll | No |
| Erfassungszeittransformation | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Type | Beschreibung |
|---|---|---|
| ApplicationProtocol | Zeichenfolge | Typ des verwendeten Netzwerkprotokolls |
| ApplicationServiceName | Zeichenfolge | Feld aus altem Schema halten - Attribut nicht erfasst |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| Computer | Zeichenfolge | Name des Computers, auf dem Daten gesammelt wurden |
| Zuverlässigkeit | Zeichenfolge | Konfidenzniveau für böswillige IP-Identifikation. Werte sind 0 - 100. |
| Beschreibung | string | Beschreibung der beobachteten Bedrohung. |
| Direction | Zeichenfolge | Eingehend oder ausgehend |
| FirstReportedDateTime | Zeichenfolge | Das erste Mal, wenn der Anbieter die Bedrohung gemeldet hat. |
| IndicatorThreatType | Zeichenfolge | Der erkannte Bedrohungsindikator ist einer der folgenden Werte Botnet C2 CryptoMining Darknet DDos MaliciousUrl Malware Phishing Proxy PUA Watchlist. |
| IPVersion | Zeichenfolge | IP-Version |
| IsActive | Zeichenfolge | Gibt an, dass die Indikatoren deaktiviert sind, mit dem Wert true oder false. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LastReportedDateTime | Zeichenfolge | Die Uhrzeit, zu der der Indikator zum letzten Mal von Interflow beobachtet wurde. |
| LatencyMilliseconds | int | Feld aus altem Schema halten - Attribut nicht erfasst |
| LatencySamplingFailureRate | Zeichenfolge | Feld aus altem Schema halten - Attribut nicht erfasst |
| LatencySamplingTimeStamp | datetime | Feld aus altem Schema halten - Attribut nicht erfasst |
| LocalIP | Zeichenfolge | IP-Adresse des lokalen Computers |
| LocalMAC | Zeichenfolge | Feld aus altem Schema halten - Attribut nicht erfasst |
| LocalPortNumber | int | Lokale Portnummer |
| LocalSubnet | Zeichenfolge | Subnetz, in dem Daten gesammelt wurden |
| MaliciousIP | Zeichenfolge | IP-Adresse einer bekannten schädlichen Quelle |
| ManagementGroupName | Zeichenfolge | Name der Operations Manager-Verwaltungsgruppe |
| ProcessID | int | Windows-Prozess-ID |
| ProcessName | Zeichenfolge | Pfad und Dateiname des Prozesses |
| ProtocolName | Zeichenfolge | Name des verwendeten Netzwerkprotokolls |
| ReceivedBytes | long | Summe empfangener Bytes |
| ReceivedPackets | long | Feld aus altem Schema halten - Attribut nicht erfasst |
| RemoteIP | Zeichenfolge | Vom Remotecomputer verwendete Remote-IP-Adresse |
| RemoteIPCountry | Zeichenfolge | Land/Region der Remote-IP-Adresse |
| RemoteIPLatitude | real | IP-Breitengradwert |
| RemoteIPLongitude | real | IP-Längengradwert |
| RemoteMAC | Zeichenfolge | Feld aus altem Schema halten - Attribut nicht erfasst |
| RemotePortNumber | int | Von der Remote-IP-Adresse verwendete Portnummer |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| SentBytes | long | Anzahl der gesendeten Bytes |
| SentPackets | long | Feld aus altem Schema halten - Attribut nicht erfasst |
| SequenceNumber | long | Feld aus altem Schema halten - Attribut nicht erfasst |
| SessionEndTime | datetime | Endzeit der Sitzung |
| SessionID | Zeichenfolge | Ein eindeutiger Wert, der die Kommunikationssitzung zwischen zwei IP-Adressen identifiziert |
| SessionStartTime | datetime | Startzeit der Sitzung |
| SessionState | Zeichenfolge | Verbunden oder getrennt |
| Severity | int | Vermuteter Malwareschweregrad |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TimeGenerated | datetime | Uhrzeit des Datensatzes |
| TLPLevel | Zeichenfolge | Die Ampelprotokollebene (TLP) ist einer der definierten Werte "White Green Amber Red". |
| TotalBytes | long | Gesamtanzahl der während der Sitzung gesendeten Bytes |
| type | Zeichenfolge | Der Name der Tabelle. |