AWS CloudWatch ログを収集する

以下でサポートされています。

このドキュメントでは、AWS CloudWatch ログを Google Security Operations に取り込む方法について説明します。AWS CloudWatch は、モニタリングとオブザーバビリティのサービスで、ログ、指標、イベントの形式で運用データを収集します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • AWS への特権アクセス

Amazon S3 バケットを作成する

CloudWatch ログ専用に作成されたバケットを使用することをおすすめします。

  1. Amazon S3 コンソールを開きます。
  2. 必要に応じて、[リージョン] を変更できます。
    • ナビゲーション バーで、CloudWatch Logs が存在する [リージョン] を選択します。
  3. [バケットを作成] をクリックします。
    • バケット名: バケットにわかりやすい名前を入力します。
    • リージョン: CloudWatch Logs データが存在するリージョンを選択します。
    • [作成] をクリックします。

Amazon S3 と CloudWatch ログに対するフルアクセス権限を持つ IAM ユーザーを作成する

  1. IAM コンソールを開きます。
  2. [ユーザー] > [ユーザーを追加] をクリックします。
  3. ユーザー名を入力します(例: CWExport)。
  4. [プログラムによるアクセス] と [AWS マネジメント コンソールへのアクセス] を選択します。
  5. [自動生成されたパスワード] または [カスタム パスワード] を選択します。
  6. [次へ > 権限] をクリックします。
  7. [既存のポリシーを直接アタッチする] を選択します。
  8. ユーザーに AmazonS3FullAccess ポリシーと CloudWatchLogsFullAccess ポリシーを検索して選択します。
  9. [次へ> タグ] をクリックします。
  10. [次へ>確認] をクリックします。
  11. [ユーザーを作成] をクリックします。

Amazon S3 バケットの権限を構成する

  1. Amazon S3 コンソールで、以前に作成したバケットを選択します。
  2. [権限> バケット ポリシー] をクリックします。

  3. バケット ポリシー エディタで、次のポリシーを追加します。

    {             
  "Version": "2012-10-17",
  "Statement": [
      {
        "Action": "s3:GetBucketAcl",
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::cw-exported-logs",
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
      },
      {
        "Action": "s3:PutObject" ,
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
        "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }

      }

  ]

}

  4. 次の json 変数を変更して更新します。

    • cw-exported-logs を S3 バケットの名前に変更します。
    • random-string をランダムに生成された文字列に変更します。
    • プリンシパルの正しいリージョン エンドポイントを指定します。

  5. [保存] をクリックして、追加したポリシーをバケットのアクセス ポリシーとして設定します。

CloudWatch エクスポートを構成する方法

  1. 以前に作成した IAM ユーザーとしてログインします。
  2. CloudWatch コンソールを開きます。
  3. ナビゲーション メニューで [ロググループ] を選択します。
  4. 既存のロググループの名前を選択するか、新しいロググループを作成します。
  5. [アクション> Amazon S3 にデータをエクスポート] を選択します。
  6. [Export data to Amazon S3] 画面で、[Define data export] を見つけます。

  7. [開始] と [終了] を使用して、エクスポートするデータの期間を設定します。

  8. S3 バケットを選択: Amazon S3 バケットに関連付けられているアカウントを選択します。

  9. S3 バケット名: Amazon S3 バケットを選択します。

  10. S3 バケットの接頭辞: バケットポリシーで指定したランダムに生成された文字列を入力します。

  11. [エクスポート] を選択して、ログデータを Amazon S3 にエクスポートします。

  12. Amazon S3 にエクスポートしたログデータのステータスを表示するには、[操作] > [Amazon S3 へのすべてのエクスポートを表示] を選択します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: AWS CloudWatch Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [Log type] として [AWS CloudWatch] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
    • URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。

    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

    • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
  • S3 URI: バケット URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
  • URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
  • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

  • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

  • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
account principal.user.userid 未加工ログの account の値は、principal.user.userid フィールドにマッピングされます。
account_id principal.user.userid 未加工ログの account_id の値は、principal.user.userid フィールドにマッピングされます。
AlertId metadata.product_log_id 未加工ログの AlertId の値は、metadata.product_log_id フィールドにマッピングされます。
arrivalTimestamp metadata.event_timestamp 未加工ログの arrivalTimestamp の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
attemptsMade additional.fields 未加工ログの attemptsMade の値は文字列に変換され、キー「Attempts Made」で Key-Value ペアとして additional.fields に追加されます。
awsAccountId principal.asset_id 未加工ログの awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。
billed_duration additional.fields 未加工ログの billed_duration の値は、キー「billed_duration」で Key-Value ペアとして additional.fields に追加されます。
BytesIn network.received_bytes 未加工ログの BytesIn の値は符号なし整数に変換され、network.received_bytes フィールドにマッピングされます。
cipher network.tls.cipher 未加工ログの cipher の値は、network.tls.cipher フィールドにマッピングされます。
Ciphers network.tls.client.supported_ciphers 未加工ログの Ciphers の値がカンマで分割され、各値が network.tls.client.supported_ciphers 配列に追加されます。
cloudwatchLog security_result.description 未加工ログの cloudwatchLog の値は、security_result.description フィールドにマッピングされます。
CloudAccountId metadata.product_deployment_id 未加工ログの CloudAccountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
CloudType target.resource.attribute.cloud.environment 未加工ログの CloudType の値によって、target.resource.attribute.cloud.environment の値が決まります。CloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」です。CloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」です。CloudType が「azure」の場合、値は「MICROSOFT_AZURE」です。
Context.Execution.Id target.resource.attribute.labels 未加工ログの Context.Execution.Id の値は、キー「Context Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.Name target.resource.attribute.labels 未加工ログの Context.Execution.Name の値は、キー「Context Name」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.RoleArn target.resource.product_object_id 未加工ログの Context.Execution.RoleArn の値は、target.resource.product_object_id フィールドにマッピングされます。
descr metadata.description 未加工ログの descr の値は、余分な空白を削除した後、「-」でない限り metadata.description フィールドにマッピングされます。descr が空の場合、代わりに log の値が使用されます。
destination.name target.location.country_or_region 未加工ログの destination.name の値は、target.location.country_or_region フィールドにマッピングされます。
destination.properties.prefix target.resource.attribute.labels 未加工ログの destination.properties.prefix の値は、キー「宛先プロパティの接頭辞」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.additionalEventData.configRuleArn security_result.rule_id 未加工ログの detail.additionalEventData.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.additionalEventData.configRuleName security_result.rule_name 未加工ログの detail.additionalEventData.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.additionalEventData.managedRuleIdentifier additional.fields 未加工ログの detail.additionalEventData.managedRuleIdentifier の値は、キー「managedRuleIdentifier」で Key-Value ペアとして additional.fields に追加されます。
detail.additionalEventData.notificationJobType additional.fields 未加工ログの detail.additionalEventData.notificationJobType の値は、キー「notificationJobType」で Key-Value ペアとして additional.fields に追加されます。
detail.awsAccountId principal.asset_id 未加工ログの detail.awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。
detail.awsRegion principal.location.name 未加工ログの detail.awsRegion の値は、principal.location.name フィールドにマッピングされます。
detail.configRuleArn security_result.rule_id 未加工ログの detail.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.configRuleName security_result.rule_name 未加工ログの detail.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.configurationItem.awsAccountId principal.user.userid 未加工ログの detail.configurationItem.awsAccountId の値は、principal.user.userid フィールドにマッピングされます。
detail.configurationItem.awsRegion target.location.country_or_region 未加工ログの detail.configurationItem.awsRegion の値は、target.location.country_or_region フィールドにマッピングされます。
detail.configurationItem.configuration.complianceType security_result.summary 未加工ログの detail.configurationItem.configuration.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceId の値は、キー「configurationItem configuration targetResourceId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceType の値は、キー「configurationItem configuration targetResourceType」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time 未加工ログの detail.configurationItem.configurationItemCaptureTime の値はタイムスタンプに変換され、_target.asset.attribute.creation_time フィールドにマッピングされます。
detail.configurationItem.configurationItemStatus target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationItemStatus の値は、キー「configurationItem configurationItemStatus」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationStateId target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationStateId の値は文字列に変換され、キー configurationItem configurationStateId を持つ target.resource.attribute.labels に Key-Value ペアとして追加されます。
detail.configurationItem.resourceId target.resource.id 未加工ログの detail.configurationItem.resourceId の値は、target.resource.id フィールドにマッピングされます。
detail.configurationItem.resourceType target.resource.resource_subtype 未加工ログの detail.configurationItem.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id 未加工ログの detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.eventCategory security_result.category_details 未加工ログの detail.eventCategory の値は、security_result.category_details フィールドにマッピングされます。
detail.eventID metadata.product_log_id 未加工ログの detail.eventID の値は、metadata.product_log_id フィールドにマッピングされます。
detail.eventName additional.fields 未加工ログの detail.eventName の値は、キー「Event Name」で Key-Value ペアとして additional.fields に追加されます。
detail.eventSource target.application 未加工ログの detail.eventSource の値は、target.application フィールドにマッピングされます。
detail.eventType additional.fields 未加工ログの detail.eventType の値は、キー「Event Type」で Key-Value ペアとして additional.fields に追加されます。
detail.eventVersion metadata.product_version 未加工ログの detail.eventVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.managementEvent additional.fields 未加工ログの detail.managementEvent の値は文字列に変換され、キー「detail managementEvent」で Key-Value ペアとして additional.fields に追加されます。
detail.messageType target.resource.attribute.labels 未加工ログの detail.messageType の値は、キー「Message Type」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.newEvaluationResult.complianceType security_result.summary 未加工ログの detail.newEvaluationResult.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.newEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.newEvaluationResult.configRuleInvokedTime の値は、キー「newEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「newEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「newEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「newEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.newEvaluationResult.resultRecordedTime の値は、キー「newEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.oldEvaluationResult.configRuleInvokedTime の値は、キー「oldEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー oldEvaluationResult_configRuleName を使用して Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「oldEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「oldEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.oldEvaluationResult.resultRecordedTime の値は、キー「oldEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.readOnly additional.fields 未加工ログの detail.readOnly の値は文字列に変換され、キー「detail readOnly」で Key-Value ペアとして additional.fields に追加されます。
detail.recipientAccountId target.resource.attribute.labels 未加工ログの detail.recipientAccountId の値は、キー「Recipient Account Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.recordVersion metadata.product_version 未加工ログの detail.recordVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.requestID target.resource.attribute.labels 未加工ログの detail.requestID の値は、キー「Detail Request ID」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.resourceType target.resource.resource_subtype 未加工ログの detail.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.s3Bucket about.resource.name 未加工ログの detail.s3Bucket の値は、about.resource.name フィールドにマッピングされます。
detail.s3ObjectKey target.resource.attribute.labels 未加工ログの detail.s3ObjectKey の値は、キー「s3ObjectKey」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.userAgent network.http.user_agent 未加工ログの detail.userAgent の値は、network.http.user_agent フィールドにマッピングされます。
detail.userIdentity.accessKeyId target.user.userid 未加工ログの detail.userIdentity.accessKeyId の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.accountId metadata.product_deployment_id 未加工ログの detail.userIdentity.accountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
detail.userIdentity.arn target.user.userid 未加工ログの detail.userIdentity.arn の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.principalId principal.user.product_object_id 未加工ログの detail.userIdentity.principalId の値は、principal.user.product_object_id フィールドにマッピングされます。
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels 未加工ログの detail.userIdentity.sessionContext.attributes.mfaAuthenticated の値は、キー「mfaAuthenticated」で Key-Value ペアとして principal.user.attribute.labels に追加されます。
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name 未加工ログの detail.userIdentity.sessionContext.sessionIssuer.userName の値は、target.user.user_display_name フィールドにマッピングされます。
detail.userIdentity.type principal.resource.type 未加工ログの detail.userIdentity.type の値は、principal.resource.type フィールドにマッピングされます。
detail-type metadata.product_event_type 未加工ログの detail-type の値は、metadata.product_event_type フィールドにマッピングされます。
device principal.asset.product_object_id 未加工ログの device の値は、principal.asset.product_object_id フィールドにマッピングされます。
digestPublicKeyFingerprint target.file.sha1 未加工ログの digestPublicKeyFingerprint の値は、target.file.sha1 フィールドにマッピングされます。
digestS3Bucket principal.resource.name 未加工ログの digestS3Bucket の値は、principal.resource.name フィールドにマッピングされます。
digestS3Object principal.asset.asset_id 未加工ログの digestS3Object の値に「S3 Object: 」が追加され、principal.asset.asset_id フィールドにマッピングされます。
digestSignatureAlgorithm network.tls.cipher 未加工ログの digestSignatureAlgorithm の値は、network.tls.cipher フィールドにマッピングされます。
digestStartTime metadata.event_timestamp 未加工ログの digestStartTime の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
dimensions.VolumeId additional.fields 未加工ログの dimensions.VolumeId の値は、キー「VolumeId」で Key-Value ペアとして additional.fields に追加されます。
duration additional.fields 未加工ログの duration の値は、キー「duration」で Key-Value ペアとして additional.fields に追加されます。
errorCode security_result.rule_name 未加工ログの errorCode の値は、security_result.rule_name フィールドにマッピングされます。
errorMessage security_result.summary 未加工ログの errorMessage の値は、security_result.summary フィールドにマッピングされます。
executionId principal.process.pid 未加工ログの executionId の値は、principal.process.pid フィールドにマッピングされます。
host principal.hostnameprincipal.ip 未加工ログの host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
http_verb network.http.method 未加工ログの http_verb の値は大文字に変換され、network.http.method フィールドにマッピングされます。
kubernetes.container_hash additional.fields 未加工ログの kubernetes.container_hash の値は、キー「container_hash」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_image additional.fields 未加工ログの kubernetes.container_image の値は、キー「container_image」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_name additional.fields 未加工ログの kubernetes.container_name の値は、キー「container_name」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.docker_id principal.asset_id 未加工ログの kubernetes.docker_id の値に「id:」が追加され、principal.asset_id フィールドにマッピングされます。
kubernetes.host principal.hostnameprincipal.ip 未加工ログの kubernetes.host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
kubernetes.namespace principal.namespace 未加工ログの kubernetes.namespace の値は、principal.namespace フィールドにマッピングされます。
kubernetes.namespace_name principal.namespace 未加工ログの kubernetes.namespace_name の値は、principal.namespace フィールドにマッピングされます。
kubernetes.pod_id principal.asset.asset_id 未加工ログの kubernetes.pod_id の値に「pod_id:」が追加され、principal.asset.asset_id フィールドにマッピングされます。
kubernetes.pod_name additional.fields 未加工ログの kubernetes.pod_name の値は、キー「pod name」で Key-Value ペアとして additional.fields に追加されます。
lambdaArn principal.hostname 未加工ログの lambdaArn の値は、principal.hostname フィールドにマッピングされます。
level security_result.severity 未加工ログの level の値によって、security_result.severity の値が決まります。level が「Info」の場合、値は「INFORMATIONAL」になります。level が「Error」の場合、値は「ERROR」になります。level が「Warning」の場合、値は「MEDIUM」です。
log metadata.description descr が空の場合、未加工ログの log の値は metadata.description フィールドにマッピングされます。
logFiles about 未加工ログの logFiles 配列の各要素に対して、file.full_paths3Object に、asset.hostnames3Bucket に、file.sha256hashValue に設定された about オブジェクトが作成されます。
log_processed.cause security_result.summary 未加工ログの log_processed.cause の値は、security_result.summary フィールドにマッピングされます。
log_processed.ids intermediary.hostname 未加工ログの log_processed.ids 配列の各要素に対して、hostname が要素の値に設定された intermediary オブジェクトが作成されます。
log_processed.level security_result.severity 未加工ログの log_processed.level の値は、security_result.severity フィールドにマッピングされます。
log_processed.msg metadata.description 未加工ログの log_processed.msg の値は、metadata.description フィールドにマッピングされます。
log_processed.ts metadata.event_timestamp 未加工ログの log_processed.ts の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
log_type metadata.log_type 未加工ログの log_type の値は、metadata.log_type フィールドにマッピングされます。これはコンテキスト用に加えられたカスタム フィールドです。
logevent.message security_result.description 未加工ログの logevent.message の値は、security_result.description フィールドにマッピングされます。また、grok を使用して解析し、追加のフィールドを抽出します。
logGroup security_result.about.resource.name 未加工ログの logGroup の値は、security_result.about.resource.name フィールドにマッピングされます。
logStream security_result.about.resource.attribute.labels 未加工ログの logStream の値は、キー「logStream」で Key-Value ペアとして security_result.about.resource.attribute.labels に追加されます。
memory_used additional.fields 未加工ログの memory_used の値は、キー「memory_used」で Key-Value ペアとして additional.fields に追加されます。
metric_name additional.fields 未加工ログの metric_name の値は、キー「metric_name」で Key-Value ペアとして additional.fields に追加されます。
metric_stream_name additional.fields 未加工ログの metric_stream_name の値は、キー「metric_stream_name」で Key-Value ペアとして additional.fields に追加されます。
namespace principal.namespace 未加工ログの namespace の値は、principal.namespace フィールドにマッピングされます。
owner principal.user.userid 未加工ログの owner の値は、principal.user.userid フィールドにマッピングされます。
parameters additional.fields 未加工ログの parameters の値は、キー「Parameters」で Key-Value ペアとして additional.fields に追加されます。
Path principal.process.file.full_path 未加工ログの Path の値は、principal.process.file.full_path フィールドにマッピングされます。
pid principal.process.pid 未加工ログの pid の値は、principal.process.pid フィールドにマッピングされます。
PolicyName security_result.rule_name 未加工ログの PolicyName の値は、security_result.rule_name フィールドにマッピングされます。
prin_host principal.hostname 未加工ログの prin_host の値は、principal.hostname フィールドにマッピングされます。
principal_hostname principal.hostname 未加工ログの principal_hostname の値は、principal.hostname フィールドにマッピングされます。
process principal.application 未加工ログの process の値は、principal.application フィールドにマッピングされます。
rawData additional.fields 未加工ログの rawData の値は、キー「Raw Data」で Key-Value ペアとして additional.fields に追加されます。
Recommendation security_result.detection_fields 未加工ログの Recommendation の値は、キー「Recommendation」で Key-Value ペアとして security_result.detection_fields に追加されます。
referral_url network.http.referral_url 未加工ログの referral_url の値は、network.http.referral_url フィールドにマッピングされます。
region principal.location.name 未加工ログの region の値は、principal.location.name フィールドにマッピングされます。
resp_code network.http.response_code 未加工ログの resp_code の値は整数に変換され、network.http.response_code フィールドにマッピングされます。
resource_url network.http.referral_url 未加工ログの resource_url の値は、network.http.referral_url フィールドにマッピングされます。
ResourceType target.resource.resource_subtype 未加工ログの ResourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
response_body additional.fields 未加工ログの response_body の値は、キー「Response body」で Key-Value ペアとして additional.fields に追加されます。
Role target.resource.product_object_id 未加工ログの Role の値は、target.resource.product_object_id フィールドにマッピングされます。
s3_bucket_path target.file.full_path 未加工ログの s3_bucket_path の値は、target.file.full_path フィールドにマッピングされます。
sec_result.category security_result.category sec_result.category の値は、パーサーのロジックから導出されます。descr に「authentication is required」が含まれている場合、値は「AUTH_VIOLATION」です。
sec_result.description security_result.description sec_result.description の値は、パーサーのロジックから導出されます。存在する場合は cloudwatchLog の値に設定されます。
sec_result.severity security_result.severity sec_result.severity の値は、パーサーのロジックから導出されます。severity または level の値に基づいて設定されます。
sec_result.summary security_result.summary sec_result.summary の値は、パーサーのロジックから導出されます。存在する場合は、log_processed.cause または errorMessage の値に設定されます。
security_result security_result security_result オブジェクトは、さまざまなフィールドとパーサー ロジックから構築されます。
serverId additional.fields 未加工ログの serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
severity security_result.severity 未加工ログの severity の値は、大文字に変換されて正規化され、security_result.severity フィールドにマッピングされます。
Source principal.hostname 未加工ログの Source の値は、principal.hostname フィールドにマッピングされます。
source principal.hostname 未加工ログの source の値は、principal.hostname フィールドにマッピングされます。
SourceIP principal.ip 未加工ログの SourceIP の値は、principal.ip フィールドにマッピングされます。
src_port principal.port src_port が「80」の場合、整数に変換されて principal.port フィールドにマッピングされ、network.application_protocol が「HTTP」に設定されます。
stream additional.fields 未加工ログの stream の値は、キー「stream」で Key-Value ペアとして additional.fields に追加されます。
subscriptionFilters security_result.about.resource.attribute.labels 未加工ログの subscriptionFilters 配列の各要素について、キーが「subscriptionFilter」で値が配列の値の Key-Value ペアが security_result.about.resource.attribute.labels に追加されます。
support_contact target.resource.attribute.labels 未加工ログの support_contact の値は、キー「サポート連絡先」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
t_ip target.ip 未加工ログの t_ip の値からハイフンが削除され、IP アドレスとして解析されます。成功した場合は、target.ip フィールドにマッピングされます。
time metadata.event_timestamp 未加工ログの time の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
timestamp metadata.event_timestamp 未加工ログの timestamp の値は、さまざまな形式を使用してタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
tls network.tls.version 未加工ログの tls の値は、network.tls.version フィールドにマッピングされます。
transferDetails.serverId additional.fields 未加工ログの transferDetails.serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
transferDetails.sessionId network.session_id 未加工ログの transferDetails.sessionId の値は、network.session_id フィールドにマッピングされます。
transferDetails.username principal.user.user_display_name 未加工ログの transferDetails.username の値は、principal.user.user_display_name フィールドにマッピングされます。
ts metadata.event_timestamp 未加工ログの ts の値は、タイムゾーン(使用可能な場合)と組み合わされてタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
type metadata.product_event_type 未加工ログの type の値は、metadata.product_event_type フィールドにマッピングされます。
unit additional.fields 未加工ログの unit の値は、キー「unit」で Key-Value ペアとして additional.fields に追加されます。
url target.url 未加工ログの url の値は、target.url フィールドにマッピングされます。
url_back_to_product metadata.url_back_to_product 未加工ログの url_back_to_product の値は、metadata.url_back_to_product フィールドにマッピングされます。
User principal.user.userid 未加工ログの User の値は、principal.user.userid フィールドにマッピングされます。
user target.user.useridmetadata.event_typeextensions.auth.mechanism user が存在する場合、metadata.event_type は「USER_LOGIN」に設定され、extensions.auth.mechanism は「NETWORK」に設定され、user の値は target.user.userid にマッピングされます。
value.count additional.fields 未加工ログの value.count の値は文字列に変換され、キー「count」で Key-Value ペアとして additional.fields に追加されます。
value.max additional.fields 未加工ログの value.max の値は文字列に変換され、キー「max」で Key-Value ペアとして additional.fields に追加されます。
value.min additional.fields 未加工ログの value.min の値は文字列に変換され、キー「min」で Key-Value ペアとして additional.fields に追加されます。
value.sum additional.fields 未加工ログの value.sum の値は文字列に変換され、キー「sum」で Key-Value ペアとして additional.fields に追加されます。
workflowId additional.fields 未加工ログの workflowId の値は、キー「workflowId」で Key-Value ペアとして additional.fields に追加されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。