WireData
Netzwerkdaten, die von der WireData-Lösung mit dem Dependency-Agent und dem Log Analytics-Agent gesammelt werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorien | Virtual Machines, Sicherheit |
Lösungen | WireData, WireData2 |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ApplicationProtocol | Zeichenfolge | Typ des verwendeten Netzwerkprotokolls |
ApplicationServiceName | Zeichenfolge | Feld aus dem alten Schema halten – Attribut nicht erfasst |
_BilledSize | real | Die Datensatzgröße in Bytes |
Computer | string | Name des Computers, auf dem Daten gesammelt wurden |
Confidence | Zeichenfolge | Konfidenzstufe für die Identifizierung schädlicher IP-Adressen. Die Werte sind 0 bis 100. |
BESCHREIBUNG | Zeichenfolge | Beschreibung der beobachteten Bedrohung. |
Direction | Zeichenfolge | Eingehend oder ausgehend |
FirstReportedDateTime | Zeichenfolge | Das erste Mal, wenn der Anbieter die Bedrohung gemeldet hat. |
IndicatorThreatType | Zeichenfolge | Bedrohungsindikator erkannt ist einer der folgenden Werte Botnet C2 CryptoMining Darknet DDos MaliciousUrl Malware Phishing Proxy PUA Watchlist. |
IPVersion | Zeichenfolge | IP-Version |
IsActive | Zeichenfolge | Gibt an, dass die Indikatoren deaktiviert sind, mit dem Wert true oder false. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
LastReportedDateTime | Zeichenfolge | Die Uhrzeit, zu der der Indikator zum letzten Mal von Interflow beobachtet wurde. |
LatenzMillisekunden | INT | Feld aus dem alten Schema halten – Attribut nicht erfasst |
LatencySamplingFailureRate | Zeichenfolge | Feld aus dem alten Schema halten – Attribut nicht erfasst |
LatencySamplingTimeStamp | datetime | Feld aus dem alten Schema halten – Attribut nicht erfasst |
LocalIP | Zeichenfolge | IP-Adresse des lokalen Computers |
LocalMAC | Zeichenfolge | Feld aus dem alten Schema halten – Attribut nicht erfasst |
LocalPortNumber | INT | Lokale Portnummer |
LocalSubnet | Zeichenfolge | Subnetz, in dem Daten gesammelt wurden |
MaliciousIP | Zeichenfolge | IP-Adresse einer bekannten schädlichen Quelle |
ManagementGroupName | Zeichenfolge | Name der Operations Manager-Verwaltungsgruppe |
ProcessID | INT | Windows-Prozess-ID |
ProcessName | Zeichenfolge | Pfad und Dateiname des Prozesses |
ProtocolName | Zeichenfolge | Name des verwendeten Netzwerkprotokolls |
ReceivedBytes | long | Summe empfangener Bytes |
ReceivedPackets | long | Feld aus altem Schema halten – Attribut nicht gesammelt |
RemoteIP | Zeichenfolge | Vom Remotecomputer verwendete Remote-IP-Adresse |
RemoteIPCountry | Zeichenfolge | Land/Region der Remote-IP-Adresse |
RemoteIPLatitude | real | IP-Breitengradwert |
RemoteIPLongitude | real | IP-Längengradwert |
RemoteMAC | Zeichenfolge | Feld aus altem Schema halten – Attribut nicht gesammelt |
RemotePortNumber | INT | Von der Remote-IP-Adresse verwendete Portnummer |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
SentBytes | long | Anzahl der gesendeten Bytes |
SentPackets | long | Feld aus altem Schema halten – Attribut nicht gesammelt |
SequenceNumber | long | Feld aus altem Schema halten – Attribut nicht gesammelt |
SessionEndTime | datetime | Endzeit der Sitzung |
SessionID | Zeichenfolge | Ein eindeutiger Wert, der die Kommunikationssitzung zwischen zwei IP-Adressen identifiziert |
SessionStartTime | datetime | Startzeit der Sitzung |
SessionState | Zeichenfolge | Verbunden oder getrennt |
severity | INT | Vermuteter Malwareschweregrad |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TimeGenerated | datetime | Uhrzeit des Datensatzes |
TLPLevel | Zeichenfolge | Die Ampelprotokollebene (Traffic Light Protocol, TLP) ist einer der definierten Werte Weiß Grün Bernsteinrot. |
TotalBytes | long | Gesamtanzahl der während der Sitzung gesendeten Bytes |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für