Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Aviseringsloggarna för AWS-plattformens brandvägg, som hämtas genom Sentinels anslutning, möjliggör realtidsanalys och korrelation med andra säkerhetsdatakällor.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AlertAction | snöre | Den åtgärd som vidtogs när en avisering utlöstes (t.ex. tillåten, borttagen, avvisad). |
| AppProto | snöre | Protokollet för programskiktet har identifierats. |
| Tillgänglighetszon | snöre | Tillgänglighetszonen för AWS där brandväggsinstansen finns. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| Kategori | snöre | Kategorin för det identifierade hotet eller nätverksaktiviteten. |
| DestIp | snöre | Paketets mål-IP-adress. |
| DestPort | snöre | Målporten som paketet skickades till. |
| Riktning | snöre | Trafikriktningen (t.ex. inkommande, utgående). |
| Händelsetidstämpel | tidpunkt | Epoktidsstämpeln för när händelsen inträffade. |
| Evenemangstyp | snöre | Den typ av händelse som registrerats (t.ex. avisering, flöde, bortfall, pass). |
| BrandväggNamn | snöre | Namnet på den AWS Network Firewall-instans som genererar loggen. |
| FlowId | snöre | En unik identifierare för nätverksflödet som är relaterat till den här händelsen. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| PktSrc | snöre | Paketets källa (t.ex. intern, extern, brandväggsregel). |
| Proto | snöre | Det protokoll som används (t.ex. TCP, UDP, ICMP). |
| Rev | snöre | Revisionsnumret för den matchade Suricata-regeln. |
| Svårighetsgrad | snöre | Allvarlighetsgraden för händelsen, vanligtvis baserat på Suricata-regelklassificeringar. |
| Underskrift | snöre | Namnet eller beskrivningen av Suricata-regeln som utlöste aviseringen. |
| SignaturId | snöre | Den unika identifieraren för Suricata-regeln som matchade händelsen. |
| Sni | snöre | Servernamnindikeringen (SNI) från TLS-trafik. |
| SourceSystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| SrcIp | snöre | Källporten som datapaketet härstammar från. |
| SrcPort | snöre | Källporten som datapaketet härstammar från. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Tidsstämpeln när loggposten skapades i AWS Network Firewall. |
| Tidsstämpel | tidpunkt | Den exakta tidsstämpeln när händelsen registrerades. |
| TxId | snöre | Transaktions-ID:t som är associerat med det specifika nätverksflödet. |
| Typ | snöre | Tabellens namn |
| VerdictAction | snöre | Det slutliga beslutet som fattats av brandväggen (t.ex. passera, släpp, varning). |
| Utgåva | snöre | Den version av loggschemat eller Suricata-regelformatet som används. |