AWS CloudWatch-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS CloudWatch-Logs mit Amazon S3 oder Amazon Kinesis Data Firehose in Google Security Operations aufnehmen. AWS CloudWatch ist ein Dienst für Monitoring und Observability, der Betriebsdaten in Form von Logs, Messwerten und Ereignissen erfasst. Mit dieser Integration können Sie diese Logs zur Analyse und zum Monitoring an Google SecOps senden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS

CloudWatch-Logs mit AWS S3 exportieren

Dieser Exportvorgang muss regelmäßig durchgeführt werden, damit die neuesten CloudWatch-Logs in S3 aufgenommen werden.

Amazon S3-Bucket erstellen

Wir empfehlen, einen Bucket zu verwenden, der speziell für CloudWatch-Logs erstellt wurde.

  1. Öffnen Sie die Amazon S3-Konsole.
  2. Bei Bedarf können Sie die Region ändern.
    • Wählen Sie in der Navigationsleiste die Region aus, in der sich Ihre CloudWatch Logs befinden.
  3. Klicken Sie auf Bucket erstellen.
    • Bucket-Name: Geben Sie einen aussagekräftigen Namen für den Bucket ein.
    • Region: Wählen Sie die Region aus, in der sich Ihre CloudWatch Logs-Daten befinden.
    • Klicken Sie auf Erstellen.

IAM-Nutzer mit vollem Zugriff auf Amazon S3 und CloudWatch Logs erstellen

  1. Öffnen Sie die IAM-Konsole.
  2. Klicken Sie auf Nutzer > Nutzer erstellen.
  3. Geben Sie im Feld Nutzername einen Namen ein, z. B. CWExport.
  4. Wählen Sie sowohl Programmatic access (Programmatischer Zugriff) als auch AWS Management Console access (Zugriff auf die AWS Management Console) aus.
  5. Wählen Sie entweder Automatisch generiertes Passwort oder Benutzerdefiniertes Passwort aus.
  6. Klicken Sie auf Next: Permissions.
  7. Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
  8. Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsFullAccess und weisen Sie sie dem Nutzer zu.
  9. Klicken Sie auf Weiter: Tags.
  10. Klicken Sie auf Weiter: Überprüfen.
  11. Klicken Sie auf Nutzer erstellen.

Berechtigungen für Amazon S3-Bucket konfigurieren

  1. Wählen Sie in der Amazon S3-Konsole den Bucket aus, den Sie zuvor erstellt haben.
  2. Klicken Sie auf Berechtigungen > Bucket-Richtlinie.

  3. Fügen Sie im Bucket Policy Editor (Bucket-Richtlinieneditor) die folgende Richtlinie hinzu.

    {             
  "Version": "2012-10-17",
  "Statement": [
      {
        "Action": "s3:GetBucketAcl",
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::cw-exported-logs",
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
      },
      {
        "Action": "s3:PutObject" ,
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
        "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }

      }

  ]

}

  4. Ändern und aktualisieren Sie die folgenden json-Variablen:

    • Ändern Sie cw-exported-logs in den Namen Ihres S3-Buckets.
    • Ändern Sie random-string in eine zufällig generierte Zeichenfolge.
    • Achten Sie darauf, den richtigen Region-Endpunkt für Principal anzugeben.

  5. Klicken Sie auf Speichern.

CloudWatch-Export konfigurieren

  1. Melden Sie sich als der IAM-Nutzer an, den Sie zuvor erstellt haben.
  2. Öffnen Sie die CloudWatch-Konsole.
  3. Wählen Sie im Navigationsmenü Log groups (Log-Gruppen) aus.
  4. Wählen Sie den Namen einer vorhandenen Loggruppe aus oder erstellen Sie eine neue.
  5. Wählen Sie Aktionen > Daten nach Amazon S3 exportieren aus.
  6. Suchen Sie auf dem Bildschirm Export data to Amazon S3 (Daten nach Amazon S3 exportieren) nach Define data export (Datenexport definieren).

  7. Legen Sie mit Von und Bis den Zeitraum für die zu exportierenden Daten fest.

  8. S3-Bucket auswählen: Wählen Sie das Konto aus, das mit dem Amazon S3-Bucket verknüpft ist.

  9. S3-Bucket-Name: Wählen Sie einen Amazon S3-Bucket aus.

  10. S3-Bucket-Präfix: Geben Sie den zufällig generierten String ein, den Sie in der Bucket-Richtlinie angegeben haben.

  11. Wählen Sie Exportieren aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.

  12. Wenn Sie den Status der Logdaten sehen möchten, die Sie nach Amazon S3 exportiert haben, wählen Sie Aktionen > Alle Exporte nach Amazon S3 ansehen aus.

Feed in Google SecOps konfigurieren, um AWS CloudWatch-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS CloudWatch Logs.
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie AWS CloudWatch als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • S3-URI: Der Bucket-URI
    • s3://your-log-bucket-name/
      • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen des Buckets.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.

    • Maximales Dateialter: Standardmäßig 180 Tage.

    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.

    • Secret Access Key (Geheimer Zugriffsschlüssel): Geheimer Nutzersicherheitsschlüssel mit Zugriff auf den S3-Bucket.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

CloudWatch-Logs mit AWS Data Firehose exportieren

Dieser Exportvorgang muss nach der Ersteinrichtung nicht regelmäßig durchgeführt werden.

Feed in Google SecOps konfigurieren, um AWS CloudWatch-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS CloudWatch Logs.
  4. Wählen Sie Amazon Data Firehose als Quelltyp aus.
  5. Wählen Sie AWS CloudWatch als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Optional \n.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die Feedkonfiguration und klicken Sie auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie diesen Wert nicht noch einmal aufrufen können.
  12. Wechseln Sie zum Tab Details.
  13. Kopieren Sie die Feed-Endpunkt-URL aus dem Feld Endpoint Information (Endpunktinformationen).
  14. Klicken Sie auf Fertig.

API-Schlüssel für den Amazon Data Firehose-Feed erstellen

  1. Rufen Sie in der Google Cloud Console die Seite „Anmeldedaten“ auf.
  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie dann API-Schlüssel aus.
  3. Schränken Sie den Zugriff des API-Schlüssels auf die Google SecOps API ein.

Endpunkt-URL angeben

So geben Sie den HTTPS-Endpunkt und den Zugriffsschlüssel in Amazon Data Firehose an:

  1. Hängen Sie den API-Schlüssel an die Feed-Endpunkt-URL an und geben Sie diese URL als HTTP-Endpunkt-URL im folgenden Format an:

    ENDPOINT_URL?key=API_KEY

    • Ersetzen Sie Folgendes:

      • ENDPOINT_URL: Die URL des Feed-Endpunkts.
      • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.

Geben Sie für den Zugriffsschlüssel den geheimen Schlüssel an, den Sie beim Erstellen des Amazon Data Firehose-Feeds erhalten haben.

Konfigurieren Sie Amazon Kinesis Data Firehose für Google SecOps {:#configure-kinesis-secops}.

  1. Rufen Sie in der AWS Console Kinesis > Data Firehose > Create delivery stream auf.
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Quelle: Wählen Sie Direkter PUT oder andere Quellen aus.
    • Ziel: Wählen Sie HTTP-Endpunkt aus.
    • HTTP-Endpunkt-URL: Geben Sie die Feed-HTTPS-Endpunkt-URL aus Google SecOps mit dem API-Schlüssel ein.
    • HTTP-Methode: Wählen Sie POST aus.
  3. Geben Sie unter Zugriffsschlüssel die folgenden Details ein:
    • Header für geheimen Schlüssel: <HEADER_NAME_FOR_SECRET> mit dem Wert <YOUR_SECRET_KEY>
    • Pufferungshinweise: Legen Sie Puffergröße auf 1 MiB und Pufferintervall auf 60 Sekunden fest.
    • Komprimierung: Wählen Sie Deaktiviert aus.
    • S3-Sicherung: Wählen Sie Deaktiviert aus.
    • Behalten Sie für die Einstellungen retry und logging die Standardwerte bei.
  4. Klicken Sie auf Lieferstream erstellen.

IAM-Berechtigungen konfigurieren und die Loggruppe abonnieren

  1. Rufen Sie in der AWS Console IAM > Richtlinien > Richtlinie erstellen > JSON auf.

  2. Fügen Sie die folgende Richtlinien-JSON ein und ersetzen Sie <region> und <account-id> durch Ihre AWS-Region und Konto-ID:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    1. Geben Sie der Richtlinie den Namen CWLtoFirehoseWrite und klicken Sie auf Richtlinie erstellen.
    2. Klicken Sie auf IAM > Rollen > Rolle erstellen.
    3. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus und fügen Sie Folgendes ein:
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Hängen Sie die Richtlinie CWLtoFirehoseWrite an die Rolle an.

  4. Geben Sie der Rolle den Namen CWLtoFirehoseRole und klicken Sie auf Rolle erstellen.

  5. Rufen Sie CloudWatch > Logs > Log groups auf.

  6. Wählen Sie die Zielloggruppe aus.

  7. Öffnen Sie den Tab Abo-Filter und klicken Sie auf Erstellen.

  8. Wählen Sie Amazon Kinesis Data Firehose-Abo-Filter erstellen aus.

  9. Geben Sie die folgenden Konfigurationsdetails an:

    • Ziel: Wählen Sie den Auslieferungsstream cwlogs-to-secops aus.
    • Berechtigung erteilen: Wählen Sie die Rolle CWLtoFirehoseRole aus.
    • Filtername: Geben Sie all-events ein.
    • Lassen Sie Filtermuster leer, um alle Ereignisse zu senden.

  10. Klicken Sie auf Streaming starten.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
account principal.user.userid Der Wert von account aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
account_id principal.user.userid Der Wert von account_id aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
AlertId metadata.product_log_id Der Wert von AlertId aus dem Rohlog wird dem Feld metadata.product_log_id zugeordnet.
arrivalTimestamp metadata.event_timestamp Der Wert von arrivalTimestamp aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
attemptsMade additional.fields Der Wert von attemptsMade aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „Attempts Made“ (Versuche) zu additional.fields hinzugefügt.
awsAccountId principal.asset_id Dem Wert von awsAccountId aus dem Rohlog wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
billed_duration additional.fields Der Wert von billed_duration aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „billed_duration“ zu additional.fields hinzugefügt.
BytesIn network.received_bytes Der Wert von BytesIn aus dem Rohlog wird in eine vorzeichenlose Ganzzahl konvertiert und dem Feld network.received_bytes zugeordnet.
cipher network.tls.cipher Der Wert von cipher aus dem Rohlog wird dem Feld network.tls.cipher zugeordnet.
Ciphers network.tls.client.supported_ciphers Der Wert von Ciphers aus dem Rohlog wird durch Kommas getrennt und jeder Wert wird dem network.tls.client.supported_ciphers-Array hinzugefügt.
cloudwatchLog security_result.description Der Wert von cloudwatchLog aus dem Rohlog wird dem Feld security_result.description zugeordnet.
CloudAccountId metadata.product_deployment_id Der Wert von CloudAccountId aus dem Rohlog wird dem Feld metadata.product_deployment_id zugeordnet.
CloudType target.resource.attribute.cloud.environment Der Wert von CloudType aus dem Rohlog bestimmt den Wert von target.resource.attribute.cloud.environment. Wenn CloudType „gcp“ ist, lautet der Wert „GOOGLE_CLOUD_PLATFORM“. Wenn CloudType „aws“ ist, lautet der Wert „AMAZON_WEB_SERVICES“. Wenn CloudType „azure“ ist, lautet der Wert „MICROSOFT_AZURE“.
Context.Execution.Id target.resource.attribute.labels Der Wert von Context.Execution.Id aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Context Id“ zu target.resource.attribute.labels hinzugefügt.
Context.Execution.Name target.resource.attribute.labels Der Wert von Context.Execution.Name aus dem Rohlog wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „Context Name“ hinzugefügt.
Context.Execution.RoleArn target.resource.product_object_id Der Wert von Context.Execution.RoleArn aus dem Rohlog wird dem Feld target.resource.product_object_id zugeordnet.
descr metadata.description Der Wert von descr aus dem Rohlog wird nach dem Entfernen von zusätzlichem Leerraum dem Feld metadata.description zugeordnet, sofern er nicht „-“ ist. Wenn descr leer ist, wird stattdessen der Wert von log verwendet.
destination.name target.location.country_or_region Der Wert von destination.name aus dem Rohlog wird dem Feld target.location.country_or_region zugeordnet.
destination.properties.prefix target.resource.attribute.labels Der Wert von destination.properties.prefix aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Destination properties prefix“ (Präfix für Ziel-Properties) zu target.resource.attribute.labels hinzugefügt.
detail.additionalEventData.configRuleArn security_result.rule_id Der Wert von detail.additionalEventData.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.additionalEventData.configRuleName security_result.rule_name Der Wert von detail.additionalEventData.configRuleName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
detail.additionalEventData.managedRuleIdentifier additional.fields Der Wert von detail.additionalEventData.managedRuleIdentifier aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „managedRuleIdentifier“ zu additional.fields hinzugefügt.
detail.additionalEventData.notificationJobType additional.fields Der Wert von detail.additionalEventData.notificationJobType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „notificationJobType“ zu additional.fields hinzugefügt.
detail.awsAccountId principal.asset_id Dem Wert von detail.awsAccountId aus dem Rohlog wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
detail.awsRegion principal.location.name Der Wert von detail.awsRegion aus dem Rohlog wird dem Feld principal.location.name zugeordnet.
detail.configRuleArn security_result.rule_id Der Wert von detail.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.configRuleName security_result.rule_name Der Wert von detail.configRuleName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
detail.configurationItem.awsAccountId principal.user.userid Der Wert von detail.configurationItem.awsAccountId aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
detail.configurationItem.awsRegion target.location.country_or_region Der Wert von detail.configurationItem.awsRegion aus dem Rohlog wird dem Feld target.location.country_or_region zugeordnet.
detail.configurationItem.configuration.complianceType security_result.summary Der Wert von detail.configurationItem.configuration.complianceType aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels Der Wert von detail.configurationItem.configuration.targetResourceId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configuration targetResourceId“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels Der Wert von detail.configurationItem.configuration.targetResourceType aus dem Rohlog wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „configurationItem configuration targetResourceType“ hinzugefügt.
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time Der Wert von detail.configurationItem.configurationItemCaptureTime aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld _target.asset.attribute.creation_time zugeordnet.
detail.configurationItem.configurationItemStatus target.resource.attribute.labels Der Wert von detail.configurationItem.configurationItemStatus aus dem Rohlog wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „configurationItem configurationItemStatus“ hinzugefügt.
detail.configurationItem.configurationStateId target.resource.attribute.labels Der Wert von detail.configurationItem.configurationStateId aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configurationStateId“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.resourceId target.resource.id Der Wert von detail.configurationItem.resourceId aus dem Rohlog wird dem Feld target.resource.id zugeordnet.
detail.configurationItem.resourceType target.resource.resource_subtype Der Wert von detail.configurationItem.resourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id Der Wert von detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.eventCategory security_result.category_details Der Wert von detail.eventCategory aus dem Rohlog wird dem Feld security_result.category_details zugeordnet.
detail.eventID metadata.product_log_id Der Wert von detail.eventID aus dem Rohlog wird dem Feld metadata.product_log_id zugeordnet.
detail.eventName additional.fields Der Wert von detail.eventName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Event Name“ zu additional.fields hinzugefügt.
detail.eventSource target.application Der Wert von detail.eventSource aus dem Rohlog wird dem Feld target.application zugeordnet.
detail.eventType additional.fields Der Wert von detail.eventType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Event Type“ (Ereignistyp) zu additional.fields hinzugefügt.
detail.eventVersion metadata.product_version Der Wert von detail.eventVersion aus dem Rohlog wird dem Feld metadata.product_version zugeordnet.
detail.managementEvent additional.fields Der Wert von detail.managementEvent aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „detail managementEvent“ zu additional.fields hinzugefügt.
detail.messageType target.resource.attribute.labels Der Wert von detail.messageType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Message Type“ (Nachrichtentyp) zu target.resource.attribute.labels hinzugefügt.
detail.newEvaluationResult.complianceType security_result.summary Der Wert von detail.newEvaluationResult.complianceType aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
detail.newEvaluationResult.configRuleInvokedTime additional.fields Der Wert von detail.newEvaluationResult.configRuleInvokedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleInvokedTime“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleName“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceId“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceType“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.resultRecordedTime additional.fields Der Wert von detail.newEvaluationResult.resultRecordedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resultRecordedTime“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.configRuleInvokedTime additional.fields Der Wert von detail.oldEvaluationResult.configRuleInvokedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleInvokedTime“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleName“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceId“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceType“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.resultRecordedTime additional.fields Der Wert von detail.oldEvaluationResult.resultRecordedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resultRecordedTime“ zu additional.fields hinzugefügt.
detail.readOnly additional.fields Der Wert von detail.readOnly aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „detailReadOnly“ zu additional.fields hinzugefügt.
detail.recipientAccountId target.resource.attribute.labels Der Wert von detail.recipientAccountId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Recipient Account Id“ (Empfängerkonto-ID) zu target.resource.attribute.labels hinzugefügt.
detail.recordVersion metadata.product_version Der Wert von detail.recordVersion aus dem Rohlog wird dem Feld metadata.product_version zugeordnet.
detail.requestID target.resource.attribute.labels Der Wert von detail.requestID aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Detail Request ID“ zu target.resource.attribute.labels hinzugefügt.
detail.resourceType target.resource.resource_subtype Der Wert von detail.resourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
detail.s3Bucket about.resource.name Der Wert von detail.s3Bucket aus dem Rohlog wird dem Feld about.resource.name zugeordnet.
detail.s3ObjectKey target.resource.attribute.labels Der Wert von detail.s3ObjectKey aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „s3ObjectKey“ zu target.resource.attribute.labels hinzugefügt.
detail.userAgent network.http.user_agent Der Wert von detail.userAgent aus dem Rohlog wird dem Feld network.http.user_agent zugeordnet.
detail.userIdentity.accessKeyId target.user.userid Der Wert von detail.userIdentity.accessKeyId aus dem Rohlog wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.accountId metadata.product_deployment_id Der Wert von detail.userIdentity.accountId aus dem Rohlog wird dem Feld metadata.product_deployment_id zugeordnet.
detail.userIdentity.arn target.user.userid Der Wert von detail.userIdentity.arn aus dem Rohlog wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.principalId principal.user.product_object_id Der Wert von detail.userIdentity.principalId aus dem Rohlog wird dem Feld principal.user.product_object_id zugeordnet.
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels Der Wert von detail.userIdentity.sessionContext.attributes.mfaAuthenticated aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „mfaAuthenticated“ zu principal.user.attribute.labels hinzugefügt.
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name Der Wert von detail.userIdentity.sessionContext.sessionIssuer.userName aus dem Rohlog wird dem Feld target.user.user_display_name zugeordnet.
detail.userIdentity.type principal.resource.type Der Wert von detail.userIdentity.type aus dem Rohlog wird dem Feld principal.resource.type zugeordnet.
detail-type metadata.product_event_type Der Wert von detail-type aus dem Rohlog wird dem Feld metadata.product_event_type zugeordnet.
device principal.asset.product_object_id Der Wert von device aus dem Rohlog wird dem Feld principal.asset.product_object_id zugeordnet.
digestPublicKeyFingerprint target.file.sha1 Der Wert von digestPublicKeyFingerprint aus dem Rohlog wird dem Feld target.file.sha1 zugeordnet.
digestS3Bucket principal.resource.name Der Wert von digestS3Bucket aus dem Rohlog wird dem Feld principal.resource.name zugeordnet.
digestS3Object principal.asset.asset_id Der Wert von digestS3Object aus dem Rohlog wird mit „S3 Object: “ vorangestellt und dem Feld principal.asset.asset_id zugeordnet.
digestSignatureAlgorithm network.tls.cipher Der Wert von digestSignatureAlgorithm aus dem Rohlog wird dem Feld network.tls.cipher zugeordnet.
digestStartTime metadata.event_timestamp Der Wert von digestStartTime aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
dimensions.VolumeId additional.fields Der Wert von dimensions.VolumeId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „VolumeId“ zu additional.fields hinzugefügt.
duration additional.fields Der Wert von duration aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „duration“ zu additional.fields hinzugefügt.
errorCode security_result.rule_name Der Wert von errorCode aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
errorMessage security_result.summary Der Wert von errorMessage aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
executionId principal.process.pid Der Wert von executionId aus dem Rohlog wird dem Feld principal.process.pid zugeordnet.
host principal.hostname, principal.ip Der Wert von host aus dem Rohlog wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn dies erfolgreich ist. Dabei werden Bindestriche durch Punkte ersetzt. Andernfalls wird sie dem Feld principal.hostname zugeordnet.
http_verb network.http.method Der Wert von http_verb aus dem Rohlog wird in Großbuchstaben konvertiert und dem Feld network.http.method zugeordnet.
kubernetes.container_hash additional.fields Der Wert von kubernetes.container_hash aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_hash“ zu additional.fields hinzugefügt.
kubernetes.container_image additional.fields Der Wert von kubernetes.container_image aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_image“ zu additional.fields hinzugefügt.
kubernetes.container_name additional.fields Der Wert von kubernetes.container_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_name“ zu additional.fields hinzugefügt.
kubernetes.docker_id principal.asset_id Der Wert von kubernetes.docker_id aus dem Rohlog wird mit „id: “ vorangestellt und dem Feld principal.asset_id zugeordnet.
kubernetes.host principal.hostname, principal.ip Der Wert von kubernetes.host aus dem Rohlog wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn dies erfolgreich ist. Dabei werden Bindestriche durch Punkte ersetzt. Andernfalls wird sie dem Feld principal.hostname zugeordnet.
kubernetes.namespace principal.namespace Der Wert von kubernetes.namespace aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
kubernetes.namespace_name principal.namespace Der Wert von kubernetes.namespace_name aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
kubernetes.pod_id principal.asset.asset_id Der Wert von kubernetes.pod_id aus dem Rohlog wird mit „pod_id: “ vorangestellt und dem Feld principal.asset.asset_id zugeordnet.
kubernetes.pod_name additional.fields Der Wert von kubernetes.pod_name aus dem Rohlog wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „Pod-Name“ hinzugefügt.
lambdaArn principal.hostname Der Wert von lambdaArn aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
level security_result.severity Der Wert von level aus dem Rohlog bestimmt den Wert von security_result.severity. Wenn level „Info“ ist, lautet der Wert „INFORMATIONAL“. Wenn level „Error“ ist, lautet der Wert „ERROR“. Wenn level „Warning“ ist, lautet der Wert „MEDIUM“.
log metadata.description Der Wert von log aus dem Rohlog wird dem Feld metadata.description zugeordnet, wenn descr leer ist.
logFiles about Für jedes Element im logFiles-Array aus dem Rohlog wird ein about-Objekt mit file.full_path auf s3Object, asset.hostname auf s3Bucket und file.sha256 auf hashValue erstellt.
log_processed.cause security_result.summary Der Wert von log_processed.cause aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
log_processed.ids intermediary.hostname Für jedes Element im log_processed.ids-Array aus dem Rohlog wird ein intermediary-Objekt mit hostname erstellt, das auf den Wert des Elements festgelegt ist.
log_processed.level security_result.severity Der Wert von log_processed.level aus dem Rohlog wird dem Feld security_result.severity zugeordnet.
log_processed.msg metadata.description Der Wert von log_processed.msg aus dem Rohlog wird dem Feld metadata.description zugeordnet.
log_processed.ts metadata.event_timestamp Der Wert von log_processed.ts aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
log_type metadata.log_type Der Wert von log_type aus dem Rohlog wird dem Feld metadata.log_type zugeordnet. Dies ist ein benutzerdefiniertes Feld, das zur Kontextualisierung hinzugefügt wurde.
logevent.message security_result.description Der Wert von logevent.message aus dem Rohlog wird dem Feld security_result.description zugeordnet. Sie wird auch mit grok geparst, um zusätzliche Felder zu extrahieren.
logGroup security_result.about.resource.name Der Wert von logGroup aus dem Rohlog wird dem Feld security_result.about.resource.name zugeordnet.
logStream security_result.about.resource.attribute.labels Der Wert von logStream aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „logStream“ zu security_result.about.resource.attribute.labels hinzugefügt.
memory_used additional.fields Der Wert von memory_used aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „memory_used“ zu additional.fields hinzugefügt.
metric_name additional.fields Der Wert von metric_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „metric_name“ zu additional.fields hinzugefügt.
metric_stream_name additional.fields Der Wert von metric_stream_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „metric_stream_name“ zu additional.fields hinzugefügt.
namespace principal.namespace Der Wert von namespace aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
owner principal.user.userid Der Wert von owner aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
parameters additional.fields Der Wert von parameters aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Parameters“ zu additional.fields hinzugefügt.
Path principal.process.file.full_path Der Wert von Path aus dem Rohlog wird dem Feld principal.process.file.full_path zugeordnet.
pid principal.process.pid Der Wert von pid aus dem Rohlog wird dem Feld principal.process.pid zugeordnet.
PolicyName security_result.rule_name Der Wert von PolicyName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
prin_host principal.hostname Der Wert von prin_host aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
principal_hostname principal.hostname Der Wert von principal_hostname aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
process principal.application Der Wert von process aus dem Rohlog wird dem Feld principal.application zugeordnet.
rawData additional.fields Der Wert von rawData aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Raw Data“ (Rohdaten) zu additional.fields hinzugefügt.
Recommendation security_result.detection_fields Der Wert von Recommendation aus dem Rohlog wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „Recommendation“ hinzugefügt.
referral_url network.http.referral_url Der Wert von referral_url aus dem Rohlog wird dem Feld network.http.referral_url zugeordnet.
region principal.location.name Der Wert von region aus dem Rohlog wird dem Feld principal.location.name zugeordnet.
resp_code network.http.response_code Der Wert von resp_code aus dem Rohlog wird in eine Ganzzahl konvertiert und dem Feld network.http.response_code zugeordnet.
resource_url network.http.referral_url Der Wert von resource_url aus dem Rohlog wird dem Feld network.http.referral_url zugeordnet.
ResourceType target.resource.resource_subtype Der Wert von ResourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
response_body additional.fields Der Wert von response_body aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Response body“ (Antworttext) zu additional.fields hinzugefügt.
Role target.resource.product_object_id Der Wert von Role aus dem Rohlog wird dem Feld target.resource.product_object_id zugeordnet.
s3_bucket_path target.file.full_path Der Wert von s3_bucket_path aus dem Rohlog wird dem Feld target.file.full_path zugeordnet.
sec_result.category security_result.category Der Wert von sec_result.category wird aus der Parserlogik abgeleitet. Wenn descr „Authentifizierung erforderlich“ enthält, ist der Wert „AUTH_VIOLATION“.
sec_result.description security_result.description Der Wert von sec_result.description wird aus der Parserlogik abgeleitet. Er wird auf den Wert von cloudwatchLog gesetzt, falls vorhanden.
sec_result.severity security_result.severity Der Wert von sec_result.severity wird aus der Parserlogik abgeleitet. Er wird basierend auf dem Wert von severity oder level festgelegt.
sec_result.summary security_result.summary Der Wert von sec_result.summary wird aus der Parserlogik abgeleitet. Er wird auf den Wert von log_processed.cause oder errorMessage gesetzt, falls vorhanden.
security_result security_result Das security_result-Objekt wird aus verschiedenen Feldern und Parserlogik erstellt.
serverId additional.fields Der Wert von serverId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ zu additional.fields hinzugefügt.
severity security_result.severity Der Wert von severity aus dem Rohlog, der in Großbuchstaben umgewandelt und normalisiert wurde, wird dem Feld security_result.severity zugeordnet.
Source principal.hostname Der Wert von Source aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
source principal.hostname Der Wert von source aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
SourceIP principal.ip Der Wert von SourceIP aus dem Rohlog wird dem Feld principal.ip zugeordnet.
src_port principal.port Wenn src_port „80“ ist, wird es in eine Ganzzahl umgewandelt und dem Feld principal.port zugeordnet. network.application_protocol wird auf „HTTP“ festgelegt.
stream additional.fields Der Wert von stream aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „stream“ zu additional.fields hinzugefügt.
subscriptionFilters security_result.about.resource.attribute.labels Für jedes Element im subscriptionFilters-Array aus dem Rohlog wird dem security_result.about.resource.attribute.labels ein Schlüssel/Wert-Paar mit dem Schlüssel „subscriptionFilter“ und dem Wert aus dem Array hinzugefügt.
support_contact target.resource.attribute.labels Der Wert von support_contact aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Support Contact“ (Supportkontakt) zu target.resource.attribute.labels hinzugefügt.
t_ip target.ip Der Wert von t_ip aus dem Rohlog wird nach dem Entfernen von Bindestrichen als IP-Adresse geparst und bei Erfolg dem Feld target.ip zugeordnet.
time metadata.event_timestamp Der Wert von time aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
timestamp metadata.event_timestamp Der Wert von timestamp aus dem Rohlog wird mithilfe verschiedener Formate in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
tls network.tls.version Der Wert von tls aus dem Rohlog wird dem Feld network.tls.version zugeordnet.
transferDetails.serverId additional.fields Der Wert von transferDetails.serverId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ zu additional.fields hinzugefügt.
transferDetails.sessionId network.session_id Der Wert von transferDetails.sessionId aus dem Rohlog wird dem Feld network.session_id zugeordnet.
transferDetails.username principal.user.user_display_name Der Wert von transferDetails.username aus dem Rohlog wird dem Feld principal.user.user_display_name zugeordnet.
ts metadata.event_timestamp Der Wert von ts aus dem Rohlog wird in Kombination mit der Zeitzone (falls verfügbar) in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
type metadata.product_event_type Der Wert von type aus dem Rohlog wird dem Feld metadata.product_event_type zugeordnet.
unit additional.fields Der Wert von unit aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „unit“ zu additional.fields hinzugefügt.
url target.url Der Wert von url aus dem Rohlog wird dem Feld target.url zugeordnet.
url_back_to_product metadata.url_back_to_product Der Wert von url_back_to_product aus dem Rohlog wird dem Feld metadata.url_back_to_product zugeordnet.
User principal.user.userid Der Wert von User aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
user target.user.userid, metadata.event_type, extensions.auth.mechanism Wenn user vorhanden ist, wird metadata.event_type auf „USER_LOGIN“ und extensions.auth.mechanism auf „NETWORK“ gesetzt. Der Wert von user wird target.user.userid zugeordnet.
value.count additional.fields Der Wert von value.count aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „count“ zu additional.fields hinzugefügt.
value.max additional.fields Der Wert von value.max aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „max“ zu additional.fields hinzugefügt.
value.min additional.fields Der Wert von value.min aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „min“ zu additional.fields hinzugefügt.
value.sum additional.fields Der Wert von value.sum aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „sum“ zu additional.fields hinzugefügt.
workflowId additional.fields Der Wert von workflowId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „workflowId“ zu additional.fields hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten