Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Firewallwarnungsprotokolle der AWS-Plattform, die vom Sentinel-Connector erfasst wurden und die Echtzeitanalyse von und Korrelation mit anderen Sicherheitsdatenquellen ermöglichen.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation bei Ingestion | Nein |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| AlertAction | Schnur | Die Aktion, die beim Auslösen einer Warnung ausgeführt wurde (z. B. zulässig, verworfen, abgelehnt). |
| AppProto | Schnur | Das Anwendungsschichtprotokoll wurde erkannt. |
| Verfügbarkeitszone | Schnur | Die AWS-Verfügbarkeitszone, in der sich die Firewallinstanz befindet. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Kategorie | Schnur | Die Kategorie der erkannten Bedrohungs- oder Netzwerkaktivität. |
| DestIp | Schnur | Die Ziel-IP-Adresse des Pakets. |
| DestPort | Schnur | Der Zielport, an den das Paket gesendet wurde. |
| Richtung | Schnur | Die Richtung des Verkehrs (z. B. eingehend, ausgehend). |
| Ereigniszeitstempel | Datum/Uhrzeit | Der Epochenzeitstempel für den Zeitpunkt, zu dem das Ereignis stattfand. |
| Eventtyp | Schnur | Der Typ des aufgezeichneten Ereignisses (z. B. Warnung, Flow, Drop, Pass). |
| FirewallName | Schnur | Der Name der AWS-Netzwerkfirewall-Instanz, die das Protokoll generiert. |
| FlowId | Schnur | Ein eindeutiger Bezeichner für den Netzwerkfluss im Zusammenhang mit diesem Ereignis. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| PktSrc | Schnur | Die Quelle des Pakets (z. B. interne, externe, Firewallregel). |
| Protokoll | Schnur | Das verwendete Protokoll (z. B. TCP, UDP, ICMP). |
| Rev | Schnur | Die Revisionsnummer der übereinstimmenden Suricata-Regel. |
| Schweregrad | Schnur | Der Schweregrad des Ereignisses, in der Regel basierend auf Suricata-Regelklassifizierungen. |
| Unterschrift | Schnur | Der Name oder die Beschreibung der Suricata-Regel, die die Warnung ausgelöst hat. |
| SignaturID | Schnur | Der eindeutige Bezeichner der Suricata-Regel, die dem Ereignis entspricht. |
| Sni | Schnur | Die Servernamensanzeige (Server Name Indication, SNI) aus TLS-Datenverkehr. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcIp | Schnur | Der Quellport, von dem das Paket stammt. |
| SrcPort | Schnur | Der Quellport, von dem das Paket stammt. |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel, zu dem der Protokolleintrag in der AWS-Netzwerkfirewall erstellt wurde. |
| Zeitstempel | Datum/Uhrzeit | Der genaue Zeitstempel, zu dem das Ereignis erfasst wurde. |
| TxId | Schnur | Die Transaktions-ID, die dem spezifischen Netzwerkfluss zugeordnet ist. |
| Typ | Schnur | Der Name der Tabelle. |
| VerdictAction | Schnur | Die endgültige Entscheidung der Firewall (z. B. zulassen, verwerfen, benachrichtigen). |
| Version | Schnur | Die Version des verwendeten Protokollschemas oder des Suricata-Regelformats. |