Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki przepływu zapory sieciowej platformy AWS pozyskane z łącznika usługi Sentinel, umożliwiają analizę i korelację w czasie rzeczywistym z innymi źródłami danych bezpieczeństwa, takimi jak alerty wykrywania, zdarzenia zapory, dzienniki ruchu sieciowego i inne.
Właściwości tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Podstawowe logi | Tak |
| Transformacja podczas ingestii | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Ack | Boolean | Wskazuje, czy flaga ACK jest ustawiona w pakiecie TCP (true/false). |
| AppProto | ciąg | Wykryto protokół warstwy aplikacji (np. HTTP, HTTPS, DNS). |
| Strefa dostępności | ciąg | Strefa dostępności AWS, w której znajduje się instancja zapory. |
| _RozmiarRachunku | autentyczne | Rozmiar rekordu w bajtach |
| DestIp | ciąg | Docelowy adres IP pakietu. |
| Port docelowy | ciąg | Port docelowy, do którego wysłano pakiet. |
| Ecn | Boolean | Wskazuje, czy flaga ECN jest ustawiona w pakiecie TCP (prawda/fałsz). |
| Znacznik czasu zdarzenia | ciąg | Sygnatura czasowa epoki wystąpienia zdarzenia. |
| Typ Wydarzenia | ciąg | Typ zarejestrowanego zdarzenia (np. przepływ, alert, upuszczanie, przekazywanie). |
| Płetwa | Boolean | Wskazuje, czy flaga FIN jest ustawiona w pakiecie TCP (true/false). |
| Nazwa zapory | ciąg | Nazwa wystąpienia zapory sieciowej AWS generującego dziennik. |
| Identyfikator przepływu | ciąg | Unikatowy identyfikator przepływu sieci związanego z tym zdarzeniem. |
| _PodlegaFakturowaniu | ciąg | Określa, czy wczytywanie danych podlega opłacie. Jeśli _IsBillable jest false, ingestia nie jest rozliczana na Twoim koncie platformy Azure |
| NetFlowAge | ciąg | Czas trwania przepływu sieci w sekundach. |
| NetFlowBytes | ciąg | Całkowita liczba bajtów przesyłanych w przepływie sieci. |
| NetFlowEnd | data/godzina | Sygnatura czasowa zakończenia przepływu sieciowego. |
| NetFlowMaxttl | ciąg | Maksymalny czas życia (TTL) zaobserwowany w ruchu sieci. |
| NetFlowMinttl | ciąg | Minimalny czas życia (TTL) zaobserwowany w przepływie sieci. |
| NetFlowPkts | ciąg | Liczba pakietów w przepływie sieci. |
| NetFlowStart | data/godzina | Znacznik czasu rozpoczęcia przepływu sieciowego. |
| Proto | ciąg | Używany protokół (np. TCP, UDP, ICMP). |
| Psh | Boolean | Wskazuje, czy flaga PSH jest ustawiona w pakiecie TCP (true/false). |
| Rst | Boolean | Wskazuje, czy flaga RST jest ustawiona w pakiecie TCP (true/false). |
| SourceSystem | ciąg | Typ agenta, za pomocą którego dane o zdarzeniu zostały zebrane. Na przykład OpsManager dla agentów systemu Windows (bezpośrednie połączenie lub program Operations Manager), Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| SrcIp | ciąg | Źródłowy adres IP pakietu, który wyzwolił zdarzenie. |
| SrcPort | ciąg | Port źródłowy, z którego pochodzi pakiet. |
| Syn | Boolean | Wskazuje, czy flaga SYN jest ustawiona w pakiecie TCP (true/false). |
| Opóźnienia TCPFlags | ciąg | Flagi TCP obserwowane w pakiecie |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Znacznik czasu, w którym utworzono wpis dziennika w zaporze sieciowej AWS. |
| Sygnatura czasowa | data/godzina | Dokładny znacznik czasu przechwycenia zdarzenia. |
| Typ | ciąg | Nazwa tabeli |