Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az AWS platform tűzfalfolyamat-naplói a Sentinel összekötőjéből vannak betöltve, így valós idejű elemzést és korrelációt biztosítanak más biztonsági adatforrásokkal, például észlelési riasztásokkal, tűzfalesemények hálózati forgalmi naplóival stb.
A táblázat tulajdonságai
| Jellemző | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | Biztonsági elemzések |
| Alapszintű napló | Igen |
| Bebevitel idejének átalakítása | Nem |
| Mintalekérdezések | - |
Oszlopok
| oszlop | típus | Leírás |
|---|---|---|
| Ack | Bool | Azt jelzi, hogy az ACK-jelző be van-e állítva a TCP-csomagban (igaz/hamis). |
| AppProto | szál/zsinór | Az észlelt alkalmazásrétegprotokoll (pl. HTTP, HTTPS, DNS). |
| Rendelkezésre állási zóna | szál/zsinór | Az AWS rendelkezésre állási zónája, ahol a tűzfalpéldány található. |
| _BilledSize | valódi | A rekord mérete bájtokban. |
| DestIp | szál/zsinór | A csomag cél IP-címe. |
| DestPort | szál/zsinór | Az a célport, amelyre a csomagot elküldték. |
| Ecn | Bool | Azt jelzi, hogy az ECN-jelölő be van-e állítva a TCP-csomagban (igaz/hamis). |
| EventTimestamp | szál/zsinór | Az esemény bekövetkezésének időbélyege. |
| Eseménytípus | szál/zsinór | A rögzített esemény típusa (például adatfolyam, riasztás, elvetés, engedélyezés). |
| Uszony | Bool | Azt jelzi, hogy a FIN-jelző be van-e állítva a TCP-csomagban (igaz/hamis). |
| tűzfal neve | szál/zsinór | A naplót létrehozó AWS hálózati tűzfalpéldány neve. |
| FlowId-azonosító | szál/zsinór | Az eseményhez kapcsolódó hálózati folyamat egyedi azonosítója. |
| _Felszámítható-e | szál/zsinór | Meghatározza, hogy az adatok bevitelének költsége számlázható-e. Ha az _IsBillable értéke false, a bevitel nem kerül kiszámlázásra az Azure-fiókodban. |
| NetFlowAge | szál/zsinór | A hálózati folyamat időtartama másodpercben. |
| NetFlowBytes | szál/zsinór | A hálózati folyamatban átvitt bájtok teljes száma. |
| NetFlowEnd | dátum/idő | Az időbélyeg, amikor a hálózati adatforgalom véget ért. |
| NetFlowMaxttl | szál/zsinór | A hálózati folyamatban megfigyelt maximális élettartam (TTL). |
| NetFlowMinttl | szál/zsinór | A hálózati folyamatban megfigyelt minimális élettartam (TTL). |
| NetFlowPkts | szál/zsinór | A hálózati folyamatban lévő csomagok száma. |
| NetFlowStart | dátum/idő | Az időbélyeg, amikor a hálózati forgalom elindult. |
| Proto | szál/zsinór | A használt protokoll (pl. TCP, UDP, ICMP). |
| Eh | Bool | Azt jelzi, hogy a PSH-jelző be van-e állítva a TCP-csomagban (igaz/hamis). |
| Első | Bool | Azt jelzi, hogy az RST-jelölő be van-e állítva a TCP-csomagban (igaz/hamis). |
| SourceSystem | szál/zsinór | Az ügynök típusa, amely által az esemény rögzítésre került. Windows-ügynök esetében például a OpsManager a közvetlen csatlakozást vagy az Operations Managert jelenti, Linux az összes Linux-ügynökre vonatkozik, vagy Azure az Azure Diagnostics-ra. |
| SrcIp | szál/zsinór | Az eseményt kiváltó csomag forrás IP-címe. |
| SrcPort | szál/zsinór | A forrásport, ahonnan a csomag származik. |
| Syn | Bool | Azt jelzi, hogy a SYN-jelölő be van-e állítva a TCP-csomagban (igaz/hamis). |
| TCP-jelzők | szál/zsinór | A csomagban megfigyelt TCP-jelzők |
| BérlőAzonosító (TenantId) | szál/zsinór | A Log Analytics-munkaterület azonosítója |
| GenerálásiIdőpont | dátum/idő | Az időbélyeg, amikor a naplóbejegyzést az AWS hálózati tűzfalban hozták létre. |
| Időbélyeg | dátum/idő | Az esemény rögzítésének pontos időbélyege. |
| típus | szál/zsinór | A táblázat neve |