Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las alertas de AWS Platform Firewall registran, ingeridos desde el conector de Sentinel, lo que permite el análisis en tiempo real y la correlación con otros orígenes de datos de seguridad.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación durante la ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AlertAction | cuerda / cadena | Acción realizada cuando se desencadenó una alerta (por ejemplo, permitida, descartada, rechazada). |
| AppProto | cuerda / cadena | Se detectó el protocolo de capa de aplicación. |
| Zona de Disponibilidad | cuerda / cadena | Zona de disponibilidad de AWS donde se encuentra la instancia del firewall. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| Categoría | cuerda / cadena | Categoría de la actividad de red o amenaza detectada. |
| DestIp | cuerda / cadena | Dirección IP de destino del paquete. |
| Puerto de destino | cuerda / cadena | Puerto de destino al que se envió el paquete. |
| Dirección | cuerda / cadena | Dirección del tráfico (por ejemplo, entrante, saliente). |
| Marca de tiempo del evento | fecha y hora | Marca de tiempo de época de cuando se produjo el evento. |
| Tipo de evento | cuerda / cadena | Tipo de evento registrado (por ejemplo, alerta, flujo, colocación, paso). |
| FirewallName | cuerda / cadena | Nombre de la instancia de AWS Network Firewall que genera el registro. |
| FlowId | cuerda / cadena | Identificador único del flujo de red relacionado con este evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable esté establecido como false, la ingesta no se facturará a su cuenta de Azure |
| PktSrc | cuerda / cadena | Origen del paquete (por ejemplo, regla interna, externa, de firewall). |
| Proto | cuerda / cadena | Protocolo usado (por ejemplo, TCP, UDP, ICMP). |
| Rev | cuerda / cadena | Número de revisión de la regla de Suricata coincidente. |
| Severidad | cuerda / cadena | El nivel de gravedad del evento, normalmente basado en clasificaciones de reglas de Suricata. |
| Firma | cuerda / cadena | Nombre o descripción de la regla de Suricata que desencadenó la alerta. |
| SignatureId | cuerda / cadena | Identificador único de la regla de Suricata que coincide con el evento. |
| SNI | cuerda / cadena | Indicación de nombre de servidor (SNI) del tráfico TLS. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcIp | cuerda / cadena | Puerto de origen desde el que se originó el paquete. |
| SrcPort | cuerda / cadena | Puerto de origen desde el que se originó el paquete. |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Marca de tiempo en la que se creó la entrada de registro en AWS Network Firewall. |
| Marca de tiempo | fecha y hora | La marca de tiempo exacta en que fue capturado el evento. |
| TxId | cuerda / cadena | Identificador de transacción asociado al flujo de red específico. |
| Tipo | cuerda / cadena | Nombre de la tabla. |
| VerdictAction | cuerda / cadena | La decisión final tomada por el firewall (por ejemplo, pasar, descartar, alertar). |
| Versión | cuerda / cadena | La versión del esquema de registro o el formato de regla de Suricata usados. |