Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os logs de Fluxo de Firewall da Plataforma AWS, ingeridos do conector do Sentinel, permitem análise em tempo real e correlação com outras fontes de dados de segurança, como alertas de Detecção, logs de eventos de rede do firewall e muito mais.
Parâmetros de Tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Sim |
| Transformação durante a ingestão | Não |
| Exemplos de consultas | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Confirmar | bool | Indica se o sinalizador ACK está definido no pacote TCP (true/false). |
| AppProto | cadeia de caracteres | O protocolo de camada de aplicativo detectado (por exemplo, HTTP, HTTPS, DNS). |
| Zona de Disponibilidade | cadeia de caracteres | A Zona de Disponibilidade do AWS em que a instância de firewall está localizada. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| DestIp | string | O endereço IP de destino do pacote. |
| DestPort | cadeia de caracteres | A porta de destino para a qual o pacote foi enviado. |
| Ecn | bool | Indica se o sinalizador ECN está definido no pacote TCP (true/false). |
| Carimbo de data/hora do evento | cadeia de caracteres | O carimbo de data/hora da época em que o evento ocorreu. |
| Tipo de Evento | cadeia de caracteres | O tipo de evento registrado (por exemplo, fluxo, alerta, queda, passagem). |
| Barbatana | bool | Indica se o sinalizador FIN está definido no pacote TCP (true/false). |
| FirewallName | cadeia de caracteres | O nome da instância do Firewall de Rede do AWS que gera o log. |
| FlowId | cadeia de caracteres | Um identificador exclusivo para o fluxo de rede relacionado a esse evento. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| NetFlowAge | cadeia de caracteres | A duração do fluxo de rede em segundos. |
| NetFlowBytes | cadeia de caracteres | Número total de bytes transferidos no fluxo de rede. |
| NetFlowEnd | Data e hora | Carimbo de data/hora do término do fluxo de rede. |
| NetFlowMaxttl | cadeia de caracteres | O TTL (tempo de vida útil) máximo observado no fluxo de rede. |
| NetFlowMinttl | cadeia de caracteres | O TTL (tempo de vida útil) mínimo observado no fluxo de rede. |
| NetFlowPkts | cadeia de caracteres | O número de pacotes no fluxo de rede. |
| NetFlowStart | Data e hora | Carimbo de data/hora do início do fluxo de rede. |
| Protocolo | cadeia de caracteres | O protocolo usado (por exemplo, TCP, UDP, ICMP). |
| Psh | bool | Indica se o sinalizador PSH está definido no pacote TCP (true/false). |
| Rst | bool | Indica se o sinalizador RST está definido no pacote TCP (true/false). |
| SourceSystem | cadeia de caracteres | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agentes do Windows, seja via conexão direta ou através do Operations Manager, Linux para agentes de Linux, ou Azure para diagnósticos do Azure |
| SrcIp | string | O endereço IP de origem do pacote que disparou o evento. |
| SrcPort | cadeia de caracteres | A porta de origem da qual o pacote se originou. |
| Syn | bool | Indica se o sinalizador SYN está definido no pacote TCP (true/false). |
| Sinalizadores TCP | cadeia de caracteres | Os sinalizadores TCP observados no pacote |
| ID do Inquilino (TenantId) | cadeia de caracteres | O ID da área de trabalho do Log Analytics |
| TimeGenerated | Data e hora | O carimbo de data/hora em que a entrada de log foi criada no Firewall de Rede do AWS. |
| Carimbo de data/hora | Data e hora | A data e hora exata em que o evento foi capturado. |
| Tipo | cadeia de caracteres | O nome da tabela |