Pergunta

Existe uma maneira de registrar as conexões bloqueadas pelo AWS Network Firewall ou filtrar os logs de conexões bloqueadas?

Fundo

Atualmente configurando as regras e gostaria de saber quais IP ou domínios foram bloqueados.

Olhando paraRegistrar o tráfego de rede do AWS Network Firewallmas não está claro se é possível.

Você pode registrar logs de fluxo e logs de alerta do mecanismo stateful do Network Firewall.
Os logs de fluxo são logs de fluxo de tráfego de rede padrão. Cada registro de log de fluxo captura o fluxo de rede para uma tupla específica de 5.

Os logs de alerta relatam o tráfego que corresponde às suas regras com estado que possuem uma ação que envia um alerta. Uma regra com estado envia alertas para as ações de regra DROP e ALERT.

Nos logs de fluxo, não está claro se ele foi aprovado ou bloqueado.

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}