NTAIpDetails
本文內容
使用分析可為客戶環境中的所有公用IP提供WHOIS數據和地理位置。 針對惡意IP,它會提供 DNS 網域、威脅類型和線程描述,如Microsoft安全性情報解決方案所識別。 IP 詳細數據會發佈至 Log Analytics 工作區,讓您可以建立自定義查詢,並對其提出警示。 您也可以從使用分析儀錶板存取預先填入的查詢。
數據表屬性
屬性
值
資源類型 -
類別 網路
方案 LogManagement
基本記錄 No
擷取時間轉換 Yes
範例查詢 -
資料行
資料行
類型
描述
_BilledSize
real
以位元組為單位的記錄大小
DnsDomain
字串
僅限惡意 IP:與此 IP 相關聯的網域名稱。
FaSchemaVersion
字串
結構描述版本。
FlowIntervalEndTime
Datetime
流量記錄處理間隔的結束時間。
FlowIntervalStartTime
Datetime
流程記錄處理間隔的開始時間。 這是測量流量間隔的時間。
FlowType
字串
可以是 AzurePublic/ExternalPublic/MaliciousFlow。
IP
字串
記錄中有提供其資訊的公用 IP。
_IsBillable
字串
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費
Location
字串
針對 Azure 公用 IP:IP 所屬虛擬網路/網路介面/虛擬機的 Azure 區域,或 IP 168.63.129.16 的全域區域。 針對外部公用IP和惡意IP:IP所在的2個字母國家/地區代碼 (ISO 3166-1 alpha-2)。
連接埠
int
僅限惡意IP:與此IP相關聯的埠。
PublicIpDetails
字串
針對 AzurePublic IP:擁有 IP 或 IP 168.63.129.16 之 IP 或「Microsoft虛擬公用 IP」的 Azure 服務。 ExternalPublic/惡意 IP:IP 的 WhoIS 資訊。
SourceSystem
字串
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷
子類型
字串
流量記錄的子類型。 只使用 FlowLog,SubType_s的其他值適用於產品的內部工作。
TenantId
字串
Log Analytics 工作區標識符
ThreatDescription
字串
僅限惡意 IP:惡意 IP 所造成的威脅描述。
ThreatType
字串
僅限惡意IP:目前允許值清單中的其中一個威脅。
TimeGenerated
Datetime
數據擷取到Log Analytics工作區的時間。
型別
string
資料表的名稱
Url
字串
僅限惡意IP:與此IP相關聯的URL。