Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los registros de flujo de AWS Platform Firewall, ingeridos desde el conector de Sentinel, permiten el análisis en tiempo real y la correlación con otras fuentes de datos de seguridad, como alertas de detección, eventos de firewall, registros de tráfico de red y más.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación durante la ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| Ack | booleano | Indica si la marca ACK está establecida en el paquete TCP (true/false). |
| AppProto | cuerda / cadena | Se detectó el protocolo de capa de aplicación (por ejemplo, HTTP, HTTPS, DNS). |
| Zona de Disponibilidad | cuerda / cadena | Zona de disponibilidad de AWS donde se encuentra la instancia del firewall. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| DestIp | cuerda / cadena | Dirección IP de destino del paquete. |
| Puerto de destino | cuerda / cadena | Puerto de destino al que se envió el paquete. |
| Ecn | booleano | Indica si la marca ECN está establecida en el paquete TCP (true/false). |
| Marca de tiempo del evento | cuerda / cadena | Marca de tiempo de época de cuando se produjo el evento. |
| Tipo de evento | cuerda / cadena | Tipo de evento registrado (por ejemplo, flujo, alerta, colocación, paso). |
| Aleta | booleano | Indica si la marca FIN está establecida en el paquete TCP (true/false). |
| FirewallName | cuerda / cadena | Nombre de la instancia de AWS Network Firewall que genera el registro. |
| FlowId | cuerda / cadena | Identificador único del flujo de red relacionado con este evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable esté establecido como false, la ingesta no se facturará a su cuenta de Azure |
| NetFlowAge | cuerda / cadena | Duración del flujo de red en segundos. |
| NetFlowBytes | cuerda / cadena | Número total de bytes transferidos en el flujo de red. |
| NetFlowEnd | fecha y hora | Marca de tiempo cuando finalizó el flujo de red. |
| NetFlowMaxttl | cuerda / cadena | Tiempo de vida máximo (TTL) observado en el flujo de red. |
| NetFlowMinttl | cuerda / cadena | El período mínimo de vida (TTL) observado en el flujo de red. |
| NetFlowPkts | cuerda / cadena | Número de paquetes en el flujo de red. |
| NetFlowStart | fecha y hora | Marca de tiempo cuando se inició el flujo de red. |
| Proto | cuerda / cadena | Protocolo usado (por ejemplo, TCP, UDP, ICMP). |
| Psh | booleano | Indica si la marca PSH está establecida en el paquete TCP (true/false). |
| Rst | booleano | Indica si la marca RST está establecida en el paquete TCP (true/false). |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcIp | cuerda / cadena | Dirección IP de origen del paquete que desencadenó el evento. |
| SrcPort | cuerda / cadena | Puerto de origen desde el que se originó el paquete. |
| Syn | booleano | Indica si la marca SYN está establecida en el paquete TCP (true/false). |
| TCPFlags | cuerda / cadena | Las marcas TCP observadas en el paquete |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Marca de tiempo en la que se creó la entrada de registro en AWS Network Firewall. |
| Marca de tiempo | fecha y hora | La marca de tiempo exacta en que fue capturado el evento. |
| Tipo | cuerda / cadena | Nombre de la tabla. |