AWS 平台防火牆警示紀錄是從 Sentinel 的連接器收集而來,能夠實現與其他安全性資料來源的即時分析和相互關聯。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
否 |
|
範例查詢 |
- |
欄位
| 資料行 |
類型 |
說明 |
| AlertAction |
字符串 |
觸發警示時所採取的動作(例如允許、捨棄、拒絕)。 |
| AppProto |
字符串 |
已偵測到應用層通訊協定。 |
| 可用區域 |
字符串 |
防火牆實例所在的 AWS 可用性區域。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| 類別 |
字符串 |
偵測到的威脅或網路活動的類別。 |
| DestIp |
字符串 |
封包的目的地IP位址。 |
| DestPort |
字符串 |
封包傳送目的地埠。 |
| 方向 |
字符串 |
流量的方向(例如輸入、輸出)。 |
| 事件時間戳記 |
日期時間 |
事件發生時的 Epoch 時間戳。 |
| 事件類型 |
字符串 |
記錄的事件類型(例如警示、流量、丟棄、傳遞)。 |
| 防火牆名稱 |
字符串 |
產生記錄的 AWS 網路防火牆實例名稱。 |
| 流程識別碼 |
字符串 |
與此事件相關的網路流程唯一標識符。 |
| _IsBillable // 是否可計費 |
字符串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| PktSrc |
字符串 |
封包的來源(例如內部、外部、防火牆規則)。 |
| 原型 |
字符串 |
使用的通訊協定(例如 TCP、UDP、ICMP)。 |
| 轉速 |
字符串 |
相符「Suricata」規則的修訂編號。 |
| 嚴重程度 |
字符串 |
事件的嚴重性層級,通常是根據 Suricata 規則分類。 |
| 簽名 |
字符串 |
觸發警示之 Suricata 規則的名稱或描述。 |
| 簽名識別碼 |
字符串 |
符合事件之 Suricata 規則的唯一標識碼。 |
| 斯奈 |
字符串 |
來自 TLS 流量的伺服器名稱指示 (SNI)。 |
| SourceSystem |
字符串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| SrcIp |
字符串 |
封包的來源埠。 |
| SrcPort |
字符串 |
封包的來源埠。 |
| 租戶識別碼 (TenantId) |
字符串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
在 AWS 網路防火牆中建立日誌條目時的時間戳。 |
| 時間戳 |
日期時間 |
擷取事件時的確切時間戳。 |
| TxId |
字符串 |
與特定網路流程相關聯的交易標識碼。 |
| 類型 |
字符串 |
資料表的名稱 |
| VerdictAction |
字符串 |
防火牆做出的最終決策(例如通過、卸除、警示)。 |
| 版本 |
字符串 |
所使用的記錄架構或 Suricata 規則格式版本。 |