你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AWS 平台防火墙警报日志(从 Sentinel 的连接器引入),可实现与其他安全数据源的实时分析和关联。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AlertAction | 字符串 | 触发警报时采取的操作(例如允许、丢弃、拒绝)。 |
| AppProto | 字符串 | 检测到应用层协议。 |
| 可用性区域 | 字符串 | 防火墙实例所在的 AWS 可用性区域。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 类别 | 字符串 | 检测到的威胁或网络活动的类别。 |
| DestIp | 字符串 | 数据包的目标 IP 地址。 |
| DestPort | 字符串 | 数据包发送到的目标端口。 |
| 方向 | 字符串 | 流量的方向(例如入站、出站)。 |
| 事件时间戳 | datetime | 事件发生时的纪元时间戳。 |
| 事件类型 | 字符串 | 记录的事件类型(例如警报、流、删除、传递)。 |
| FirewallName | 字符串 | 生成日志的 AWS 网络防火墙实例的名称。 |
| FlowId | 字符串 | 与此事件相关的网络流的唯一标识符。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| PktSrc | 字符串 | 数据包的源(例如内部、外部、防火墙规则)。 |
| 协议 | 字符串 | 使用的协议(例如 TCP、UDP、ICMP)。 |
| 审阅 | 字符串 | 匹配的 Suricata 规则的修订号。 |
| 严重程度 | 字符串 | 事件的严重性级别,通常基于 Suricata 规则分类。 |
| 签名 | 字符串 | 触发警报的 Suricata 规则的名称或说明。 |
| SignatureId | 字符串 | Suricata 规则中与事件匹配的唯一标识符。 |
| Sni | 字符串 | TLS 流量中的服务器名称指示 (SNI)。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIp | 字符串 | 数据包源自的源端口。 |
| SrcPort | 字符串 | 数据包源自的源端口。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 在 AWS 网络防火墙中创建日志条目时的时间戳。 |
| 时间戳 | datetime | 捕获事件的确切时间戳。 |
| TxId | 字符串 | 与特定网络流关联的事务 ID。 |
| 类型 | 字符串 | 表的名称 |
| VerdictAction | 字符串 | 防火墙做出的最终决定(例如传递、删除、警报)。 |
| 版本 | 字符串 | 使用的日志架构或 Suricata 规则格式的版本。 |