WireData
WireData 解决方案使用依赖项代理和 Log Analytics 代理收集的网络数据。
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines、 microsoft.azurestackhci/virtualmachines、 microsoft.scvmm/virtualmachines、 microsoft.compute/virtualmachinescalesets |
类别 | 虚拟机、安全性 |
解决方案 | WireData、WireData2 |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
ApplicationProtocol | 字符串 | 使用的网络协议的类型 |
ApplicationServiceName | 字符串 | 保留旧架构的字段 - 未收集属性 |
_BilledSize | real | 记录大小(以字节为单位) |
Computer | string | 从中收集了数据的计算机名称 |
置信度 | 字符串 | 恶意 IP 标识的置信度级别。 值为 0 - 100。 |
说明 | 字符串 | 观察到的威胁说明。 |
方向 | string | 入站或出站 |
FirstReportedDateTime | 字符串 | 提供程序首次报告威胁时。 |
IndicatorThreatType | 字符串 | 检测到的威胁指示器是以下值之一 Botnet C2 CryptoMining Darknet DDos MaliciousUrl 恶意软件钓鱼代理 PUA 监视列表。 |
IPVersion | 字符串 | IP 版本 |
IsActive | 字符串 | 使用值 True 或 False 指明是否停用标志。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
LastReportedDateTime | 字符串 | Interflow 最后一次看到指标。 |
LatencyMilliseconds | int | 保留旧架构的字段 - 未收集属性 |
LatencySamplingFailureRate | 字符串 | 保留旧架构的字段 - 未收集属性 |
LatencySamplingTimeStamp | datetime | 保留旧架构的字段 - 未收集属性 |
LocalIP | 字符串 | 本地计算机的 IP 地址 |
LocalMAC | 字符串 | 保留旧架构的字段 - 未收集属性 |
LocalPortNumber | int | 本地端口号 |
LocalSubnet | 字符串 | 从中收集了数据的子网 |
MaliciousIP | 字符串 | 某个已知恶意源的 IP 地址 |
ManagementGroupName | 字符串 | Operations Manager 管理组的名称 |
ProcessID | int | Windows 进程 ID |
ProcessName | 字符串 | 进程的路径和文件名 |
ProtocolName | 字符串 | 使用的网络协议的名称 |
ReceivedBytes | long | 已接收的字节数 |
ReceivedPackets | long | 保留旧架构的字段 - 未收集属性 |
RemoteIP | 字符串 | 远程计算机使用的远程 IP 地址 |
RemoteIPCountry | 字符串 | 远程 IP 地址所在的国家/地区 |
RemoteIPLatitude | real | IP 纬度值 |
RemoteIPLongitude | real | IP 经度值 |
RemoteMAC | 字符串 | 保留旧架构的字段 - 未收集属性 |
RemotePortNumber | int | 远程 IP 地址使用的端口号 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
SentBytes | long | 已发送的字节数 |
SentPackets | long | 保留旧架构的字段 - 未收集属性 |
SequenceNumber | long | 保留旧架构的字段 - 未收集属性 |
SessionEndTime | datetime | 会话结束时间 |
SessionID | 字符串 | 标识两个 IP 地址之间的通信会话的唯一值 |
SessionStartTime | datetime | 会话开始时间 |
SessionState | 字符串 | 已连接或已断开连接 |
Severity | int | 可疑恶意软件的严重性 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
TimeGenerated | datetime | 记录的时间 |
TLPLevel | 字符串 | 交通灯协议 (TLP) 级别是定义的值之一,白绿琥珀色红色。 |
TotalBytes | long | 会话期间发送的总字节数 |
类型 | 字符串 | 表的名称 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈