Sentinel のコネクタから取り込まれた AWS Platform Firewall アラート ログにより、リアルタイムの分析と他のセキュリティ データ ソースとの相関関係が可能になります。
テーブル属性
| 特性 |
価値 |
| リソースの種類 |
- |
| カテゴリ |
安全 |
| ソリューション |
セキュリティインサイト |
| 基本的なログ |
イエス |
| データ取り込み時タイムトランスフォーメーション |
いいえ |
| サンプル クエリ |
- |
列
| コラム |
タイプ |
説明 |
| AlertAction |
ひも |
アラートがトリガーされたときに実行されたアクション (許可、削除、拒否など)。 |
| AppProto |
ひも |
アプリケーション層プロトコルが検出されました。 |
| アベイラビリティゾーン |
ひも |
ファイアウォール インスタンスが配置されている AWS 可用性ゾーン。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
ひも |
検出された脅威またはネットワーク アクティビティのカテゴリ。 |
| DestIp |
ひも |
パケットの宛先 IP アドレス。 |
| DestPort |
ひも |
パケットの送信先ポート。 |
| 方向 |
ひも |
トラフィックの方向 (受信、送信など)。 |
| イベントタイムスタンプ |
datetime |
イベントが発生した日時のエポック タイムスタンプ。 |
| イベントの種類 |
ひも |
記録されたイベントの種類 (アラート、フロー、ドロップ、パスなど)。 |
| ファイアウォール名 |
ひも |
ログを生成する AWS ネットワークファイアウォールインスタンスの名前。 |
| FlowId |
ひも |
このイベントに関連するネットワーク フローの一意識別子。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データの取り込みが料金の対象になるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| PktSrc |
ひも |
パケットのソース (内部、外部、ファイアウォール規則など)。 |
| プロト |
ひも |
使用されるプロトコル (TCP、UDP、ICMP など)。 |
| デジタル署名の確認 |
ひも |
一致した Suricata ルールのリビジョン番号。 |
| 深刻さ |
ひも |
イベントの重大度レベル。通常は、Suricata ルールの分類に基づいています。 |
| 署名 |
ひも |
アラートをトリガーした Suricata ルールの名前または説明。 |
| SignatureId |
ひも |
イベントに一致する Suricata ルールの一意識別子。 |
| スニ |
ひも |
TLS トラフィックからのサーバー名表示 (SNI)。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類を示す。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcIp |
ひも |
パケットの送信元ポート。 |
| SrcPort |
ひも |
パケットの送信元ポート。 |
| テナント識別子 |
ひも |
Log AnalyticsのワークスペースID |
| タイムジェネレイテッド |
datetime |
AWS ネットワークファイアウォールでログエントリが作成されたときのタイムスタンプ。 |
| タイムスタンプ |
datetime |
イベントがキャプチャされたときの正確なタイムスタンプ。 |
| TxId |
ひも |
特定のネットワーク フローに関連付けられているトランザクション ID。 |
| タイプ |
ひも |
テーブルの名前 |
| VerdictAction |
ひも |
ファイアウォールによって行われた最終的な決定 (パス、ドロップ、アラートなど)。 |
| バージョン |
ひも |
使用されるログ スキーマまたは Suricata ルール形式のバージョン。 |