Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki alertów zapory platformy AWS, które zostały pozyskane z łącznika usługi Sentinel, umożliwiają przeprowadzanie analizy i korelacji w czasie rzeczywistym z innymi źródłami danych dotyczących zabezpieczeń.
Właściwości tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Podstawowe logi | Tak |
| Transformacja podczas ingestii | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AlertAction | ciąg | Akcja podjęta po wyzwoleniu alertu (np. dozwolone, porzucone, odrzucone). |
| AppProto | ciąg | Wykryto protokół warstwy aplikacji. |
| Strefa dostępności | ciąg | Strefa dostępności AWS, w której znajduje się instancja zapory. |
| _RozmiarRachunku | autentyczne | Rozmiar rekordu w bajtach |
| Kategoria | ciąg | Kategoria wykrytego zagrożenia lub aktywności sieciowej. |
| DestIp | ciąg | Docelowy adres IP pakietu. |
| Port docelowy | ciąg | Port docelowy, do którego wysłano pakiet. |
| Kierunek | ciąg | Kierunek ruchu (np. ruch przychodzący, wychodzący). |
| Znacznik czasu zdarzenia | data/godzina | Sygnatura czasowa epoki wystąpienia zdarzenia. |
| Typ Wydarzenia | ciąg | Typ zarejestrowanego zdarzenia (np. alert, przepływ, upuszczanie, przekazywanie). |
| Nazwa zapory | ciąg | Nazwa wystąpienia zapory sieciowej AWS generującego dziennik. |
| Identyfikator przepływu | ciąg | Unikatowy identyfikator przepływu sieci związanego z tym zdarzeniem. |
| _PodlegaFakturowaniu | ciąg | Określa, czy wczytywanie danych podlega opłacie. Jeśli _IsBillable jest false, ingestia nie jest rozliczana na Twoim koncie platformy Azure |
| PktSrc | ciąg | Źródło pakietu (np. wewnętrzna, zewnętrzna, reguła zapory). |
| Proto | ciąg | Używany protokół (np. TCP, UDP, ICMP). |
| Rewizja | ciąg | Numer poprawki dopasowanej reguły Suricata. |
| Ciężkość | ciąg | Poziom ważności zdarzenia zwykle opiera się na klasyfikacjach reguł Suricata. |
| Podpis | ciąg | Nazwa lub opis reguły Suricata, która wyzwoliła alert. |
| Identyfikator podpisu | ciąg | Unikatowy identyfikator reguły Suricata pasujący do zdarzenia. |
| Sni | ciąg | Wskazanie nazwy serwera (SNI) z ruchu TLS. |
| SourceSystem | ciąg | Typ agenta, za pomocą którego dane o zdarzeniu zostały zebrane. Na przykład OpsManager dla agentów systemu Windows (bezpośrednie połączenie lub program Operations Manager), Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| SrcIp | ciąg | Port źródłowy, z którego pochodzi pakiet. |
| SrcPort | ciąg | Port źródłowy, z którego pochodzi pakiet. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Znacznik czasu, w którym utworzono wpis dziennika w zaporze sieciowej AWS. |
| Sygnatura czasowa | data/godzina | Dokładny znacznik czasu przechwycenia zdarzenia. |
| TxId | ciąg | Identyfikator transakcji skojarzony z określonym przepływem sieci. |
| Typ | ciąg | Nazwa tabeli |
| WerdyktAction | ciąg | Ostateczna decyzja podjęta przez zaporę (np. przekazywanie, upuszczanie, alert). |
| wersja | ciąg | Używana wersja schematu dziennika lub formatu reguły Suricata. |