Traffic Analytics fournit des données WHOIS et l’emplacement géographique de toutes les adresses IP publiques dans l’environnement du client. Pour les adresses IP malveillantes, il fournit un domaine DNS, un type de menace et des descriptions de threads tels qu’identifiés par les solutions d’aide à la sécurité de Microsoft. Les détails IP sont publiés dans votre espace de travail Log Analytics afin que vous puissiez créer des requêtes personnalisées et y placer des alertes. Vous pouvez également accéder à des requêtes préremplies à partir du tableau de bord Traffic Analytics.
Attributs de table
Attribut
Valeur
Types de ressources
-
Catégories
Network (Réseau)
Solutions
LogManagement
Journal de base
Non
Transformation au moment de l’ingestion
Oui
Exemples de requêtes
-
Colonnes
Colonne
Type
Description
_BilledSize
real
Taille de l’enregistrement en octets
DnsDomain
string
Pour les adresses IP malveillantes uniquement : nom de domaine associé à cette adresse IP.
FaSchemaVersion
string
Version du schéma.
FlowIntervalEndTime
DATETIME
Date et heure de fin de l’intervalle de traitement des journaux de flux.
FlowIntervalStartTime
DATETIME
Date et heure de début de l’intervalle de traitement des journaux de flux Il s’agit de l’heure à partir de laquelle l’intervalle de flux est mesuré.
FlowType
string
Peut être AzurePublic/ExternalPublic/MaliciousFlow.
IP
string
Adresse IP publique dont les informations sont fournies dans l’enregistrement.
_IsBillable
string
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
Emplacement
string
Pour l’adresse IP publique Azure : région Azure de réseau virtuel/interface réseau/machine virtuelle à laquelle l’adresse IP appartient OU Global pour IP 168.63.129.16. Pour l’adresse IP publique externe et l’adresse IP malveillante : code de pays à 2 lettres où se trouve l’adresse IP (ISO 3166-1 alpha-2).
Port
int
Pour les adresses IP malveillantes uniquement : port associé à cette adresse IP.
PublicIpDetails
string
Pour l’adresse IP AzurePublic : Service Azure propriétaire de l’adresse IP OU « Adresse IP publique virtuelle Microsoft » pour IP 168.63.129.16 . Adresse IP ExternalPublic/Malveillante : informations WhoIS de l’adresse IP.
SourceSystem
string
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
Sous-type
string
Sous-type des journaux de flux. Utilisez uniquement FlowLog, d’autres valeurs de SubType_s sont destinées aux fonctionnements internes du produit.
TenantId
string
ID de l’espace de travail Log Analytics
ThreatDescription
string
Pour les adresses IP malveillantes uniquement : description de la menace posée par l’adresse IP malveillante.
ThreatType
string
Pour les adresses IP malveillantes uniquement : une des menaces de la liste des valeurs actuellement autorisées.
TimeGenerated
DATETIME
Heure à laquelle les données sont ingérées dans l’espace de travail Log Analytics.
Type
string
Le nom de la table
Url
string
Pour les adresses IP malveillantes uniquement : URL associée à cette adresse IP.