從 Sentinel 連接器擷取的 AWS 平臺防火牆流程記錄,可讓您即時分析和相互關聯其他安全性數據源,例如偵測警示、防火牆事件網路流量記錄等等。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
否 |
|
範例查詢 |
- |
欄位
| 資料行 |
類型 |
說明 |
| Ack |
布爾 (bool) |
指出是否在 TCP 封包中設定 ACK 旗標(true/false)。 |
| AppProto |
字符串 |
偵測到應用層通訊協定(例如 HTTP、HTTPS、DNS)。 |
| 可用區域 |
字符串 |
防火牆實例所在的 AWS 可用性區域。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| DestIp |
字符串 |
封包的目的地IP位址。 |
| DestPort |
字符串 |
封包傳送目的地埠。 |
| Ecn |
布爾 (bool) |
指出 ECN 旗標是否在 TCP 封包中設定 (true/false)。 |
| 事件時間戳記 |
字符串 |
事件發生時的 Epoch 時間戳。 |
| 事件類型 |
字符串 |
記錄的事件類型(例如流量、警報、丟棄、通過)。 |
| 鰭 |
布爾 (bool) |
指出 FIN 旗標是否在 TCP 封包中設定 (true/false)。 |
| 防火牆名稱 |
字符串 |
產生記錄的 AWS 網路防火牆實例名稱。 |
| 流程識別碼 |
字符串 |
與此事件相關的網路流程唯一標識符。 |
| _IsBillable // 是否可計費 |
字符串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| NetFlowAge |
字符串 |
網路流程的持續時間,以秒為單位。 |
| NetFlowBytes |
字符串 |
網路流程中傳輸的位元組總數。 |
| NetFlowEnd |
日期時間 |
網路流量結束的時間戳記。 |
| NetFlowMaxttl |
字符串 |
網路流程中觀察到的最大存活時間(TTL)。 |
| NetFlowMinttl |
字符串 |
在網路流量中觀察到的最低生存時間(TTL)。 |
| NetFlowPkts |
字符串 |
網路流程中的封包數目。 |
| NetFlowStart |
日期時間 |
網路流程啟動時的時間戳。 |
| 原型 |
字符串 |
使用的通訊協定(例如 TCP、UDP、ICMP)。 |
| 噗嗤 |
布爾 (bool) |
指出 PSH 旗標是否在 TCP 封包中設定 (true/false)。 |
| Rst |
布爾 (bool) |
指出 RST 旗標是否在 TCP 封包中設定 (true/false)。 |
| SourceSystem |
字符串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| SrcIp |
字符串 |
觸發事件的封包來源IP位址。 |
| SrcPort |
字符串 |
封包的來源埠。 |
| Syn |
布爾 (bool) |
指出SYN旗標是否在 TCP 封包中設定 (true/false)。 |
| TCPFlags |
字符串 |
封包中觀察到的 TCP 旗標 |
| 租戶識別碼 (TenantId) |
字符串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
在 AWS 網路防火牆中建立日誌條目時的時間戳。 |
| 時間戳 |
日期時間 |
擷取事件時的確切時間戳。 |
| 類型 |
字符串 |
資料表的名稱 |