Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I log degli avvisi del firewall della piattaforma AWS, inseriti dal connettore di Sentinel, abilitano l'analisi in tempo reale e la correlazione con altre origini dati di sicurezza.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione durante l'ingestione | Sì |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Descrizione |
|---|---|---|
| AlertAction | corda | Azione eseguita quando è stato attivato un avviso (ad esempio, consentito, eliminato, rifiutato). |
| AppProto | corda | Rilevato il protocollo di livello di applicazione. |
| Zona di Disponibilità | corda | Zona di disponibilità AWS in cui si trova l'istanza del firewall. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| Categoria | corda | Categoria dell'attività di rete o minaccia rilevata. |
| DestIp | corda | Indirizzo IP di destinazione del pacchetto. |
| DestPort | corda | Porta di destinazione a cui è stato inviato il pacchetto. |
| Direzione | corda | Direzione del traffico (ad esempio, in ingresso, in uscita). |
| Data e Ora dell'Evento | data e ora | Timestamp dell'epoca di quando si è verificato l'evento. |
| TipoDiEvento | corda | Tipo di evento registrato (ad esempio, avviso, flusso, rilascio, passaggio). |
| FirewallName | corda | Nome dell'istanza di AWS Network Firewall che genera il log. |
| FlowId | corda | Identificatore univoco per il flusso di rete correlato a questo evento. |
| _IsFatturabile | corda | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| PktSrc | corda | Origine del pacchetto ,ad esempio interno, esterno, regola del firewall. |
| Proto | corda | Protocollo usato ,ad esempio TCP, UDP, ICMP. |
| Revisione | corda | Numero di revisione della regola Suricata corrispondente. |
| Severità | corda | Livello di gravità dell'evento, in genere basato sulle classificazioni delle regole Suricata. |
| Firma | corda | Nome o descrizione della regola Suricata che ha attivato l'avviso. |
| Identificatore della Firma | corda | Identificatore univoco della regola Suricata che corrisponde all'evento. |
| Sni | corda | L'indicazione del nome del server (SNI) dal traffico TLS. |
| SourceSystem | corda | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| SrcIp | corda | Porta di origine da cui ha avuto origine il pacchetto. |
| SrcPort | corda | Porta di origine da cui ha avuto origine il pacchetto. |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | L'indicatore temporale quando è stata creata la voce di log in AWS Network Firewall. |
| Marca temporale: | data e ora | Timestamp esatto in cui è stato acquisito l'evento. |
| TxId | corda | ID transazione associato al flusso di rete specifico. |
| TIPO | corda | Nome della tabella |
| VerdettoAction | corda | Decisione finale presa dal firewall (ad esempio, passare, eliminare, avvisare). |
| Versione | corda | Versione dello schema del log o del formato della regola Suricata utilizzata. |