Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Firewallflowprotokolle der AWS-Plattform, die vom Sentinel-Connector erfasst wurden und die Echtzeitanalyse von und Korrelation mit anderen Sicherheitsdatenquellen (etwa Erkennungswarnungen, Protokolle für Netzwerkdatenverkehr bei Firewallereignissen usw.) ermöglichen.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation bei Ingestion | Ja |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| Ack | Boolesch | Gibt an, ob das ACK-Flag im TCP-Paket (true/false) festgelegt ist. |
| AppProto | Schnur | Das Anwendungsschichtprotokoll wurde erkannt (z. B. HTTP, HTTPS, DNS). |
| Verfügbarkeitszone | Schnur | Die AWS-Verfügbarkeitszone, in der sich die Firewallinstanz befindet. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| DestIp | Schnur | Die Ziel-IP-Adresse des Pakets. |
| DestPort | Schnur | Der Zielport, an den das Paket gesendet wurde. |
| Ecn | Boolesch | Gibt an, ob das ECN-Flag im TCP-Paket (true/false) festgelegt ist. |
| Ereigniszeitstempel | Schnur | Der Epochenzeitstempel für den Zeitpunkt, zu dem das Ereignis stattfand. |
| Eventtyp | Schnur | Der Typ des aufgezeichneten Ereignisses (z. B. flow, alert, drop, pass). |
| Flosse | Boolesch | Gibt an, ob das FIN-Flag im TCP-Paket festgelegt ist (true/false). |
| FirewallName | Schnur | Der Name der AWS-Netzwerkfirewall-Instanz, die das Protokoll generiert. |
| FlowId | Schnur | Ein eindeutiger Bezeichner für den Netzwerkfluss im Zusammenhang mit diesem Ereignis. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| NetFlowAge | Schnur | Die Dauer des Netzwerkflusses in Sekunden. |
| NetFlowBytes | Schnur | Die Gesamtanzahl der im Netzwerkfluss übertragenen Bytes. |
| NetFlowEnd | Datum/Uhrzeit | Der Zeitstempel, an dem der Netzwerkfluss beendet wurde. |
| NetFlowMaxttl | Schnur | Die im Netzwerkfluss beobachtete maximale Gültigkeitsdauer (Time-to-Live, TTL). |
| NetFlowMinttl | Schnur | Die im Netzwerkfluss beobachtete minimale Gültigkeitsdauer (Time-to-Live, TTL). |
| NetFlowPkts | Schnur | Die Anzahl der Pakete im Netzwerkfluss. |
| NetFlowStart | Datum/Uhrzeit | Der Zeitstempel, als der Netzwerkfluss gestartet wurde. |
| Protokoll | Schnur | Das verwendete Protokoll (z. B. TCP, UDP, ICMP). |
| Psh | Boolesch | Gibt an, ob das PSH-Flag im TCP-Paket (true/false) festgelegt ist. |
| Rst | Boolesch | Gibt an, ob das RST-Flag im TCP-Paket (true/false) festgelegt ist. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcIp | Schnur | Die Quell-IP-Adresse des Pakets, das das Ereignis ausgelöst hat. |
| SrcPort | Schnur | Der Quellport, von dem das Paket stammt. |
| Syn | Boolesch | Gibt an, ob das SYN-Flag im TCP-Paket festgelegt ist (true/false). |
| TCPFlags | Schnur | Die im Paket beobachteten TCP-Flags |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel, zu dem der Protokolleintrag in der AWS-Netzwerkfirewall erstellt wurde. |
| Zeitstempel | Datum/Uhrzeit | Der genaue Zeitstempel, zu dem das Ereignis erfasst wurde. |
| Typ | Schnur | Der Name der Tabelle. |