Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az AWS platform tűzfalriasztási naplói, amelyeket a Sentinel összekötőjéből töltöttek be, lehetővé teszik a valós idejű elemzést és a más biztonsági adatforrásokkal való korrelációt.
A táblázat tulajdonságai
| Jellemző | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | Biztonsági elemzések |
| Alapszintű napló | Igen |
| Bebevitel idejének átalakítása | Nem |
| Mintalekérdezések | - |
Oszlopok
| oszlop | típus | Leírás |
|---|---|---|
| AlertAction | szál/zsinór | A riasztás aktiválásakor végrehajtott művelet (például engedélyezett, elvetett, elutasított). |
| AppProto | szál/zsinór | Az alkalmazásréteg protokollja észlelhető. |
| Rendelkezésre állási zóna | szál/zsinór | Az AWS rendelkezésre állási zónája, ahol a tűzfalpéldány található. |
| _BilledSize | valódi | A rekord mérete bájtokban. |
| Kategória | szál/zsinór | Az észlelt fenyegetés vagy hálózati tevékenység kategóriája. |
| DestIp | szál/zsinór | A csomag cél IP-címe. |
| DestPort | szál/zsinór | Az a célport, amelyre a csomagot elküldték. |
| Irány | szál/zsinór | A forgalom iránya (pl. bejövő, kimenő). |
| EventTimestamp | dátum/idő | Az esemény bekövetkezésének időbélyege. |
| Eseménytípus | szál/zsinór | A rögzített esemény típusa (pl. riasztás, folyamat, leesés, átadás). |
| tűzfal neve | szál/zsinór | A naplót létrehozó AWS hálózati tűzfalpéldány neve. |
| FlowId-azonosító | szál/zsinór | Az eseményhez kapcsolódó hálózati folyamat egyedi azonosítója. |
| _Felszámítható-e | szál/zsinór | Meghatározza, hogy az adatok bevitelének költsége számlázható-e. Ha az _IsBillable értéke false, a bevitel nem kerül kiszámlázásra az Azure-fiókodban. |
| PktSrc | szál/zsinór | A csomag forrása (például belső, külső, tűzfalszabály). |
| Proto | szál/zsinór | A használt protokoll (pl. TCP, UDP, ICMP). |
| Felülvizsgálat | szál/zsinór | Az egyező Suricata szabály változatszáma. |
| Súlyosság | szál/zsinór | Az esemény súlyossági szintje, amely általában Suricata-szabálybesorolásokon alapul. |
| Aláírás | szál/zsinór | A riasztást aktiváló Suricata-szabály neve vagy leírása. |
| Aláírásazonosító | szál/zsinór | Az eseménynek megfelelő Suricata szabály egyedi azonosítója. |
| Sni | szál/zsinór | A kiszolgálónév-jelzés (SNI) a TLS-forgalomból. |
| SourceSystem | szál/zsinór | Az ügynök típusa, amely által az esemény rögzítésre került. Windows-ügynök esetében például a OpsManager a közvetlen csatlakozást vagy az Operations Managert jelenti, Linux az összes Linux-ügynökre vonatkozik, vagy Azure az Azure Diagnostics-ra. |
| SrcIp | szál/zsinór | A forrásport, ahonnan a csomag származik. |
| SrcPort | szál/zsinór | A forrásport, ahonnan a csomag származik. |
| BérlőAzonosító (TenantId) | szál/zsinór | A Log Analytics-munkaterület azonosítója |
| GenerálásiIdőpont | dátum/idő | Az időbélyeg, amikor a naplóbejegyzést az AWS hálózati tűzfalban hozták létre. |
| Időbélyeg | dátum/idő | Az esemény rögzítésének pontos időbélyege. |
| TxId | szál/zsinór | Az adott hálózati folyamathoz társított tranzakcióazonosító. |
| típus | szál/zsinór | A táblázat neve |
| VerdictAction | szál/zsinór | A tűzfal végső döntése (például: átengedés, eldobás, figyelmeztetés). |
| verzió | szál/zsinór | A naplóséma vagy Suricata-szabály formátumának verziója. |