AWS Network Firewall 샘플 이벤트 메시지
이 샘플 이벤트 메시지를 사용하여 IBM QRadar와의 성공적인 통합을 확인하십시오.
중요: 형식화 문제로 인해 메시지 형식을 텍스트 편집기에 붙여넣은 후 캐리지 리턴 또는 줄 바꾸기 문자를 제거하십시오.
Amazon AWS REST API 프로토콜 사용 시 Amazon AWS Network Firewall 샘플 메시지
샘플 1-경보 로그: 다음 샘플 이벤트 메시지는 방화벽에서 연결이 허용됨을 표시합니다.
{"firewall_name":"firewall","availability_zone":"zone","event_timestamp":"1601074865","event":{"timestamp":"2020-09-25T23:01:05.598481+0000","flow_id":1111111111111111,"event_type":"alert","src_ip":"10.16.197.56","src_port":49157,"dest_ip":"10.16.197.55","dest_port":8883,"proto":"TCP","alert":{"action":"allowed","signature_id":2,"rev":0,"signature":"","category":"","severity":3}}}| QRadar 필드 이름 | 강조표시된 페이로드 필드 이름 |
|---|---|
| 로그 소스 시간 | timestamp |
| 이벤트 ID | event_type + action |
| 소스 IP | src_ip |
| 소스 포트 | src_port |
| 대상 IP | dest_ip |
| 대상 포트 | dest_port |
| 프로토콜 | proto |
샘플 2-플로우 로그: 다음 샘플 이벤트 메시지는 netflow 트래픽을 표시합니다.
{"firewall_name":"firewall","availability_zone":"us-east-1b","event_timestamp":"1601587565","event":{"timestamp":"2020-10-01T21:26:05.007515+0000","flow_id":1770453319291727,"event_type":"netflow","src_ip":"45.129.33.153","src_port":47047,"dest_ip":"172.31.16.139","dest_port":16463,"proto":"TCP","netflow":{"pkts":1,"bytes":60,"start":"2020-10-01T21:25:04.070479+0000","end":"2020-10-01T21:25:04.070479+0000","age":0,"min_ttl":241,"max_ttl":241},"tcp":{"tcp_flags":"02","syn":true}}}| QRadar 필드 이름 | 강조표시된 페이로드 필드 이름 |
|---|---|
| 로그 소스 시간 | timestamp |
| 이벤트 ID | event_type |
| 소스 IP | src_ip |
| 소스 포트 | src_port |
| 대상 IP | dest_ip |
| 대상 포트 | dest_port |
| 프로토콜 | proto |