Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les journaux de flux de pare-feu de l'AWS Platform, ingérés à partir du connecteur de Sentinel, permettent une analyse et une corrélation en temps réel avec d'autres sources de données de sécurité telles que les alertes de détection, les événements de pare-feu, les journaux de trafic réseau, etc.
Attributs de tables de données
| Caractéristique | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Non |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| Ack | bool | Indique si l’indicateur ACK est défini dans le paquet TCP (true/false). |
| AppProto | ficelle | Protocole de couche application détecté (par exemple, HTTP, HTTPS, DNS). |
| Zone de Disponibilité | ficelle | Zone de disponibilité AWS où se trouve l’instance de pare-feu. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DestIp | ficelle | Adresse IP de destination du paquet. |
| DestPort | ficelle | Port de destination vers lequel le paquet a été envoyé. |
| Ecn | bool | Indique si l’indicateur ECN est défini dans le paquet TCP (true/false). |
| EventTimestamp | ficelle | Horodatage de l’époque de l’événement. |
| Type d’événement | ficelle | Type d’événement enregistré (par exemple, flux, alerte, chute, passage). |
| Nageoire | bool | Indique si l’indicateur FIN est défini dans le paquet TCP (true/false). |
| FirewallName | ficelle | Nom de l’instance AWS Network Firewall générant le journal. |
| Identifiant de flux | ficelle | Identificateur unique du flux réseau lié à cet événement. |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| NetFlowAge | ficelle | Durée du flux réseau en secondes. |
| NetFlowBytes | ficelle | Nombre total d’octets transférés dans le flux réseau. |
| NetFlowEnd | date/heure | L'horodatage de la fin du flux réseau. |
| NetFlowMaxttl | ficelle | Durée de vie maximale observée dans le flux réseau. |
| NetFlowMinttl | ficelle | Durée de vie minimale observée dans le flux réseau. |
| NetFlowPkts | ficelle | Nombre de paquets dans le flux réseau. |
| NetFlowStart | date/heure | Le moment où le flux réseau a commencé. |
| Proto | ficelle | Protocole utilisé (par exemple, TCP, UDP, ICMP). |
| Psh | bool | Indique si l’indicateur PSH est défini dans le paquet TCP (true/false). |
| RST | bool | Indique si l’indicateur RST est défini dans le paquet TCP (true/false). |
| SourceSystem | ficelle | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SrcIp | ficelle | Adresse IP source du paquet qui a déclenché l’événement. |
| SrcPort | ficelle | Port source à partir duquel le paquet provient. |
| Syn | bool | Indique si l’indicateur SYN est défini dans le paquet TCP (true/false). |
| TCPFlags | ficelle | Indicateurs TCP observés dans le paquet |
| Id de locataire | ficelle | ID de l’espace de travail Log Analytics |
| TimeGenerated | date/heure | L'horodatage indiquant le moment où l’entrée de journal a été créée dans AWS Network Firewall. |
| Timestamp | date/heure | Horodatage exact du moment où l’événement a été capturé. |
| Catégorie | ficelle | Le nom de la table de données |