Pregunta

¿Existe alguna forma de registrar las conexiones bloqueadas por AWS Network Firewall o filtrar los registros de las conexiones bloqueadas?

Fondo

Actualmente he configurado las reglas y me gustaría saber qué IP o dominios se han bloqueado.

Mirando aRegistro del tráfico de red desde AWS Network Firewallpero no está claro si es posible.

Puede registrar registros de flujo y registros de alertas desde el motor de estado de Network Firewall.
Los registros de flujo son registros de flujo de tráfico de red estándar. Cada registro de flujo captura el flujo de red para una tupla de 5 específica.

Los registros de alertas informan del tráfico que coincide con sus reglas de estado que tienen una acción que envía una alerta. Una regla con estado envía alertas para las acciones de regla DROP y ALERT.

A partir de los registros de flujo, no queda claro si se pasa o se bloquea.

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}