流量分析可為客戶環境中的所有公用IP提供WHOIS數據和地理位置。 針對惡意 IP,它提供由 Microsoft 安全智能解決方案識別的 DNS 網域、威脅類型和威脅描述。 IP 詳細數據會發佈至 Log Analytics 工作區,讓您可以建立自定義查詢,並對其提出警示。 您也可以從流量分析儀表板存取預先填入的查詢。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
網路 |
| 方案 |
日誌管理 |
| 基本記錄 |
不 |
| 擷取時間轉換 |
是的 |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| _BilledSize (帳單大小) |
real |
以位元組為單位的記錄大小 |
| DnsDomain |
字串 |
僅限惡意 IP:與此 IP 相關聯的網域名稱。 |
| FaSchemaVersion |
字串 |
結構描述版本。 |
| FlowIntervalEndTime |
Datetime |
流量記錄處理間隔的結束時間。 |
| FlowIntervalStartTime |
Datetime |
流程記錄處理間隔的開始時間。 這是測量流量間隔的時間。 |
| FlowType |
字串 |
可以是 AzurePublic/ExternalPublic/MaliciousFlow。 |
| Ip |
字串 |
記錄中有提供其資訊的公用 IP。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| 位置 |
字串 |
針對 Azure 公用 IP:IP 所屬虛擬網路/網路介面/虛擬機器的 Azure 區域,或 IP 168.63.129.16 的全域範圍。 針對外部公用IP和惡意IP:IP所在的2個字母國家/地區代碼 (ISO 3166-1 alpha-2)。 |
| 連接埠 |
整數 (int) |
針對僅限惡意 IP:與此 IP 相關聯的連接埠。 |
| PublicIpDetails |
字串 |
針對 AzurePublic IP:擁有該 IP 或「Microsoft 虛擬公用 IP」(適用於 IP 168.63.129.16) 的 Azure 服務 ExternalPublic/惡意 IP:IP 的 WhoIS 資訊。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| 子類型 |
字串 |
流量記錄的子類型。 只使用 FlowLog,SubType_s的其他值適用於產品的內部工作。 |
| 租戶識別碼 (TenantId) |
字串 |
Log Analytics 工作區識別碼 |
| 威脅描述 |
字串 |
僅限惡意 IP:惡意 IP 所造成的威脅描述。 |
| 威脅類型 |
字串 |
針對僅限惡意 IP:目前允許值清單中的其中一個威脅。 |
| TimeGenerated |
Datetime |
資料被匯入至 Log Analytics 工作區的時間。 |
| 類型 |
字串 |
資料表的名稱 |
| 網址 |
字串 |
僅限惡意IP:與此IP相關聯的URL。 |