A Análise de Tráfego fornece dados de whois e localização geográfica para todos os IPs públicos no ambiente do cliente. Para IP mal-intencionado, ela fornece o domínio DNS, o tipo de ameaça e as descrições do thread, identificados pelas soluções de inteligência de segurança da Microsoft. Os detalhes do IP são publicados no workspace do Log Analytics para que você possa criar consultas personalizadas e colocar alertas nelas. Você também pode acessar consultas já preenchidas no painel de análise de tráfego.
Atributos da tabela
Atributo
Valor
Tipos de recursos
-
Categorias
Rede
Soluções
LogManagement
Log básico
Não
Transformação de tempo de ingestão
Sim
Consultas de amostras
-
Colunas
Coluna
Type
Descrição
_BilledSize
real
O tamanho do registro em bytes
DnsDomain
string
Somente para IPs mal-intencionados: Nome de domínio associado a esse IP.
FaSchemaVersion
string
Versão do esquema.
FlowIntervalEndTime
datetime
Hora de término do intervalo de processamento do log de fluxo.
FlowIntervalStartTime
datetime
Hora de início do intervalo de processamento do log de fluxo. Este é o tempo a partir do qual o intervalo de fluxo é medido.
FlowType
string
Pode ser AzurePublic/ExternalPublic/MaliciousFlow.
Ip
string
IP público cujas informações são fornecidas no registro.
_IsBillable
string
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure
Location
string
Para IP Público do Azure: região do Azure de rede virtual/adaptador de rede/máquina virtual à qual o IP pertence OU Global para IP 168.63.129.16. Para IP público externo e IP mal-intencionado: código do país de 2 letras onde o IP está localizado (ISO 3166-1 alfa-2).
Porta
int
Somente para IPs mal-intencionados: Porta associada a este IP.
Detalhes do PublicIpDetails
string
Para IP Público do Azure: Serviço do Azure que possui o IP OU "IP Público Virtual da Microsoft" para IP 168.63.129.16 . IP ExternalPublic/Mal-intencionado: Informações WhoIS do IP.
SourceSystem
string
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
SubType
string
Subtipo para os logs de fluxo. Use apenas FlowLog, outros valores de SubType_s são para o funcionamento interno do produto.
TenantId
string
A ID do workspace do Log Analytics
ThreatDescription
string
Somente para IPs mal-intencionados: Descrição da ameaça apresentada pelo IP mal-intencionado.
ThreatType
string
Somente para IPs mal-intencionados: uma das ameaças da lista de valores permitidos no momento.
TimeGenerated
datetime
A hora em que os dados são ingeridos no workspace do Log Analytics.
Type
string
O nome da tabela
Url
string
Somente para IPs mal-intencionados: URL associada a este IP.