收集 AWS CloudWatch 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 AWS CloudWatch 記錄擷取至 Google Security Operations。AWS CloudWatch 是一項監控和可觀測性服務,會以記錄、指標和事件的形式收集作業資料。整合這項資源後,即可將這些記錄傳送至 Google SecOps 進行分析和監控。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
建立 Amazon S3 儲存貯體
建議您使用專為 CloudWatch 記錄建立的 bucket。
- 開啟 Amazon S3 控制台。
- 如有需要,可以變更「區域」。
- 在導覽列中,選取 CloudWatch Logs 所在的區域。
- 按一下「建立 Bucket」。
- 值區名稱:輸入值區的名稱。
- 區域:選取 CloudWatch Logs 資料所在的區域。
- 點選「建立」。
建立可完整存取 Amazon S3 和 CloudWatch 記錄的 IAM 使用者
- 開啟 IAM 主控台。
- 依序點選「使用者」>「新增使用者」。
- 輸入使用者名稱 (例如「CWExport」)。
- 選取「程式輔助存取」和「AWS 管理主控台存取」。
- 選取「自動產生密碼」或「自訂密碼」。
- 依序點選「下一步」>「權限」。
- 選擇「直接附加現有政策」。
- 搜尋並選取「AmazonS3FullAccess」和「CloudWatchLogsFullAccess」政策,指派給使用者。
- 依序點選「下一步」>「代碼」。
- 依序點選「下一步」>「檢閱」。
- 按一下「建立使用者」。
設定 Amazon S3 值區的權限
- 在 Amazon S3 控制台中,選擇您先前建立的值區。
- 依序點選「Permissions」(權限)>「Bucket policy」(儲存空間政策)。
在「Bucket Policy Editor」(值區政策編輯器) 中,新增下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::cw-exported-logs", "Principal": { "Service": "logs.us-east-1.amazonaws.com" } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/random-string/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } }, "Principal": { "Service": "logs.us-east-1.amazonaws.com" } } ] }變更及更新下列
json變數:- 將
cw-exported-logs變更為 S3 值區的名稱。 - 將
random-string變更為隨機產生的字元字串。 - 為「Principal」(主體) 指定正確的「Region endpoint」(區域端點)。
- 將
按一下「儲存」,將剛新增的政策設為值區的存取權政策。
如何設定 CloudWatch 匯出功能
- 以先前建立的 IAM 使用者身分登入。
- 開啟 CloudWatch 控制台。
- 在導覽選單中,選取「記錄檔群組」。
- 選取現有記錄檔群組的名稱,或建立新的記錄檔群組。
- 依序選擇「動作」>「將資料匯出至 Amazon S3」。
- 在「Export data to Amazon S3」(將資料匯出至 Amazon S3) 畫面中,找到「Define data export」(定義資料匯出) 。
使用「從」和「到」設定要匯出資料的時間範圍。
選擇 S3 值區:選取與 Amazon S3 值區相關聯的帳戶。
S3 bucket name:選取 Amazon S3 bucket。
S3 Bucket prefix:輸入您在儲存空間政策中指定的隨機產生字串。
選擇「Export」,將記錄資料匯出至 Amazon S3。
如要查看匯出至 Amazon S3 的記錄資料狀態,請依序選取「動作」> 查看所有匯出至 Amazon S3 的資料。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱 (例如「AWS CloudWatch Logs」)。
- 選取「Amazon S3」做為「來源類型」。
- 選取「AWS CloudWatch」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
- URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
- URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
account |
principal.user.userid |
原始記錄中的 account 值會對應至 principal.user.userid 欄位。 |
account_id |
principal.user.userid |
原始記錄中的 account_id 值會對應至 principal.user.userid 欄位。 |
AlertId |
metadata.product_log_id |
原始記錄中的 AlertId 值會對應至 metadata.product_log_id 欄位。 |
arrivalTimestamp |
metadata.event_timestamp |
原始記錄中的 arrivalTimestamp 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。 |
attemptsMade |
additional.fields |
原始記錄中的 attemptsMade 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「嘗試次數」。 |
awsAccountId |
principal.asset_id |
原始記錄中的 awsAccountId 值會加上「AWS 帳戶 ID:」,然後對應至 principal.asset_id 欄位。 |
billed_duration |
additional.fields |
原始記錄中的 billed_duration 值會以鍵/值組合的形式新增至 additional.fields,鍵為「billed_duration」。 |
BytesIn |
network.received_bytes |
原始記錄中的 BytesIn 值會轉換為無正負號整數,並對應至 network.received_bytes 欄位。 |
cipher |
network.tls.cipher |
原始記錄中的 cipher 值會對應至 network.tls.cipher 欄位。 |
Ciphers |
network.tls.client.supported_ciphers |
原始記錄中的 Ciphers 值會以逗號分隔,並將每個值加入 network.tls.client.supported_ciphers 陣列。 |
cloudwatchLog |
security_result.description |
原始記錄中的 cloudwatchLog 值會對應至 security_result.description 欄位。 |
CloudAccountId |
metadata.product_deployment_id |
原始記錄中的 CloudAccountId 值會對應至 metadata.product_deployment_id 欄位。 |
CloudType |
target.resource.attribute.cloud.environment |
原始記錄中的 CloudType 值會決定 target.resource.attribute.cloud.environment 的值。如果 CloudType 為「gcp」,值為「GOOGLE_CLOUD_PLATFORM」。如果 CloudType 為「aws」,值則為「AMAZON_WEB_SERVICES」。如果 CloudType 是「azure」,值就是「MICROSOFT_AZURE」。 |
Context.Execution.Id |
target.resource.attribute.labels |
原始記錄中的 Context.Execution.Id 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,鍵為「Context Id」。 |
Context.Execution.Name |
target.resource.attribute.labels |
原始記錄中的 Context.Execution.Name 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Context Name」做為鍵。 |
Context.Execution.RoleArn |
target.resource.product_object_id |
原始記錄中的 Context.Execution.RoleArn 值會對應至 target.resource.product_object_id 欄位。 |
descr |
metadata.description |
從原始記錄中移除多餘的空白字元後,descr 的值會對應至 metadata.description 欄位,除非該值為「-」。如果 descr 為空,系統會改用 log 的值。 |
destination.name |
target.location.country_or_region |
原始記錄中的 destination.name 值會對應至 target.location.country_or_region 欄位。 |
destination.properties.prefix |
target.resource.attribute.labels |
原始記錄中的 destination.properties.prefix 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「目的地屬性前置字元」做為鍵。 |
detail.additionalEventData.configRuleArn |
security_result.rule_id |
原始記錄中的 detail.additionalEventData.configRuleArn 值會對應至 security_result.rule_id 欄位。 |
detail.additionalEventData.configRuleName |
security_result.rule_name |
原始記錄中的 detail.additionalEventData.configRuleName 值會對應至 security_result.rule_name 欄位。 |
detail.additionalEventData.managedRuleIdentifier |
additional.fields |
原始記錄中的 detail.additionalEventData.managedRuleIdentifier 值會以鍵/值組合的形式,新增至 additional.fields,並以「managedRuleIdentifier」做為鍵。 |
detail.additionalEventData.notificationJobType |
additional.fields |
原始記錄中的 detail.additionalEventData.notificationJobType 值會以鍵/值組合的形式,新增至 additional.fields,並以「notificationJobType」做為鍵。 |
detail.awsAccountId |
principal.asset_id |
原始記錄中的 detail.awsAccountId 值會加上「AWS 帳戶 ID:」,然後對應至 principal.asset_id 欄位。 |
detail.awsRegion |
principal.location.name |
原始記錄中的 detail.awsRegion 值會對應至 principal.location.name 欄位。 |
detail.configRuleArn |
security_result.rule_id |
原始記錄中的 detail.configRuleArn 值會對應至 security_result.rule_id 欄位。 |
detail.configRuleName |
security_result.rule_name |
原始記錄中的 detail.configRuleName 值會對應至 security_result.rule_name 欄位。 |
detail.configurationItem.awsAccountId |
principal.user.userid |
原始記錄中的 detail.configurationItem.awsAccountId 值會對應至 principal.user.userid 欄位。 |
detail.configurationItem.awsRegion |
target.location.country_or_region |
原始記錄中的 detail.configurationItem.awsRegion 值會對應至 target.location.country_or_region 欄位。 |
detail.configurationItem.configuration.complianceType |
security_result.summary |
原始記錄中的 detail.configurationItem.configuration.complianceType 值會對應至 security_result.summary 欄位。 |
detail.configurationItem.configuration.targetResourceId |
target.resource.attribute.labels |
原始記錄中的 detail.configurationItem.configuration.targetResourceId 值會以鍵/值組合的形式,加入 target.resource.attribute.labels 中,並以「configurationItem configuration targetResourceId」做為鍵。 |
detail.configurationItem.configuration.targetResourceType |
target.resource.attribute.labels |
原始記錄中的 detail.configurationItem.configuration.targetResourceType 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「configurationItem configuration targetResourceType」做為鍵。 |
detail.configurationItem.configurationItemCaptureTime |
_target.asset.attribute.creation_time |
原始記錄中的 detail.configurationItem.configurationItemCaptureTime 值會轉換為時間戳記,並對應至 _target.asset.attribute.creation_time 欄位。 |
detail.configurationItem.configurationItemStatus |
target.resource.attribute.labels |
原始記錄中的 detail.configurationItem.configurationItemStatus 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「configurationItem configurationItemStatus」做為鍵。 |
detail.configurationItem.configurationStateId |
target.resource.attribute.labels |
原始記錄中的 detail.configurationItem.configurationStateId 值會轉換為字串,並以鍵/值組合的形式新增至 target.resource.attribute.labels,鍵為 configurationItem configurationStateId。 |
detail.configurationItem.resourceId |
target.resource.id |
原始記錄中的 detail.configurationItem.resourceId 值會對應至 target.resource.id 欄位。 |
detail.configurationItem.resourceType |
target.resource.resource_subtype |
原始記錄中的 detail.configurationItem.resourceType 值會對應至 target.resource.resource_subtype 欄位。 |
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn |
security_result.rule_id |
原始記錄中的 detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn 值會對應至 security_result.rule_id 欄位。 |
detail.eventCategory |
security_result.category_details |
原始記錄中的 detail.eventCategory 值會對應至 security_result.category_details 欄位。 |
detail.eventID |
metadata.product_log_id |
原始記錄中的 detail.eventID 值會對應至 metadata.product_log_id 欄位。 |
detail.eventName |
additional.fields |
原始記錄中的 detail.eventName 值會以鍵/值組合的形式新增至 additional.fields,並以「事件名稱」做為鍵。 |
detail.eventSource |
target.application |
原始記錄中的 detail.eventSource 值會對應至 target.application 欄位。 |
detail.eventType |
additional.fields |
原始記錄中的 detail.eventType 值會以鍵/值組合的形式,加入 additional.fields 中,並以「Event Type」做為鍵。 |
detail.eventVersion |
metadata.product_version |
原始記錄中的 detail.eventVersion 值會對應至 metadata.product_version 欄位。 |
detail.managementEvent |
additional.fields |
原始記錄中的 detail.managementEvent 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「detail managementEvent」。 |
detail.messageType |
target.resource.attribute.labels |
原始記錄中的 detail.messageType 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「訊息類型」做為鍵。 |
detail.newEvaluationResult.complianceType |
security_result.summary |
原始記錄中的 detail.newEvaluationResult.complianceType 值會對應至 security_result.summary 欄位。 |
detail.newEvaluationResult.configRuleInvokedTime |
additional.fields |
原始記錄中的 detail.newEvaluationResult.configRuleInvokedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_configRuleInvokedTime」做為鍵。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值會以鍵/值組合的形式加入 additional.fields,並以「newEvaluationResult_configRuleName」做為鍵。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值會以鍵/值組合的形式,新增至 additional.fields,並以「newEvaluationResult_resourceId」做為鍵。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_resourceType」做為鍵。 |
detail.newEvaluationResult.resultRecordedTime |
additional.fields |
原始記錄中的 detail.newEvaluationResult.resultRecordedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_resultRecordedTime」做為鍵。 |
detail.oldEvaluationResult.configRuleInvokedTime |
additional.fields |
原始記錄中的 detail.oldEvaluationResult.configRuleInvokedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_configRuleInvokedTime」做為鍵。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值會以鍵/值組合的形式,新增至鍵為 oldEvaluationResult_configRuleName 的 additional.fields。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值會以鍵/值組合的形式,新增至 additional.fields,並以「oldEvaluationResult_resourceId」做為鍵。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_resourceType」做為鍵。 |
detail.oldEvaluationResult.resultRecordedTime |
additional.fields |
原始記錄中的 detail.oldEvaluationResult.resultRecordedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_resultRecordedTime」做為鍵。 |
detail.readOnly |
additional.fields |
原始記錄中的 detail.readOnly 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「detail readOnly」。 |
detail.recipientAccountId |
target.resource.attribute.labels |
原始記錄中的 detail.recipientAccountId 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Recipient Account Id」做為鍵。 |
detail.recordVersion |
metadata.product_version |
原始記錄中的 detail.recordVersion 值會對應至 metadata.product_version 欄位。 |
detail.requestID |
target.resource.attribute.labels |
原始記錄中的 detail.requestID 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「詳細資料要求 ID」做為鍵。 |
detail.resourceType |
target.resource.resource_subtype |
原始記錄中的 detail.resourceType 值會對應至 target.resource.resource_subtype 欄位。 |
detail.s3Bucket |
about.resource.name |
原始記錄中的 detail.s3Bucket 值會對應至 about.resource.name 欄位。 |
detail.s3ObjectKey |
target.resource.attribute.labels |
原始記錄中的 detail.s3ObjectKey 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「s3ObjectKey」做為鍵。 |
detail.userAgent |
network.http.user_agent |
原始記錄中的 detail.userAgent 值會對應至 network.http.user_agent 欄位。 |
detail.userIdentity.accessKeyId |
target.user.userid |
原始記錄中的 detail.userIdentity.accessKeyId 值會對應至 target.user.userid 欄位。 |
detail.userIdentity.accountId |
metadata.product_deployment_id |
原始記錄中的 detail.userIdentity.accountId 值會對應至 metadata.product_deployment_id 欄位。 |
detail.userIdentity.arn |
target.user.userid |
原始記錄中的 detail.userIdentity.arn 值會對應至 target.user.userid 欄位。 |
detail.userIdentity.principalId |
principal.user.product_object_id |
原始記錄中的 detail.userIdentity.principalId 值會對應至 principal.user.product_object_id 欄位。 |
detail.userIdentity.sessionContext.attributes.mfaAuthenticated |
principal.user.attribute.labels |
原始記錄中的 detail.userIdentity.sessionContext.attributes.mfaAuthenticated 值會以鍵/值組合的形式加入 principal.user.attribute.labels,並以「mfaAuthenticated」做為鍵。 |
detail.userIdentity.sessionContext.sessionIssuer.userName |
target.user.user_display_name |
原始記錄中的 detail.userIdentity.sessionContext.sessionIssuer.userName 值會對應至 target.user.user_display_name 欄位。 |
detail.userIdentity.type |
principal.resource.type |
原始記錄中的 detail.userIdentity.type 值會對應至 principal.resource.type 欄位。 |
detail-type |
metadata.product_event_type |
原始記錄中的 detail-type 值會對應至 metadata.product_event_type 欄位。 |
device |
principal.asset.product_object_id |
原始記錄中的 device 值會對應至 principal.asset.product_object_id 欄位。 |
digestPublicKeyFingerprint |
target.file.sha1 |
原始記錄中的 digestPublicKeyFingerprint 值會對應至 target.file.sha1 欄位。 |
digestS3Bucket |
principal.resource.name |
原始記錄中的 digestS3Bucket 值會對應至 principal.resource.name 欄位。 |
digestS3Object |
principal.asset.asset_id |
原始記錄中的 digestS3Object 值會加上「S3 Object: 」前置字串,並對應至 principal.asset.asset_id 欄位。 |
digestSignatureAlgorithm |
network.tls.cipher |
原始記錄中的 digestSignatureAlgorithm 值會對應至 network.tls.cipher 欄位。 |
digestStartTime |
metadata.event_timestamp |
原始記錄中的 digestStartTime 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。 |
dimensions.VolumeId |
additional.fields |
原始記錄中的 dimensions.VolumeId 值會以鍵/值組合的形式新增至 additional.fields,並以「VolumeId」做為鍵。 |
duration |
additional.fields |
原始記錄中的 duration 值會以鍵/值組合的形式,新增至 additional.fields,並以「duration」做為鍵。 |
errorCode |
security_result.rule_name |
原始記錄中的 errorCode 值會對應至 security_result.rule_name 欄位。 |
errorMessage |
security_result.summary |
原始記錄中的 errorMessage 值會對應至 security_result.summary 欄位。 |
executionId |
principal.process.pid |
原始記錄中的 executionId 值會對應至 principal.process.pid 欄位。 |
host |
principal.hostname、principal.ip |
原始記錄中的 host 值 (連字號已替換為點) 會剖析為 IP 位址,並在成功時對應至 principal.ip 欄位。否則會對應至 principal.hostname 欄位。 |
http_verb |
network.http.method |
原始記錄中的 http_verb 值會轉換為大寫,並對應至 network.http.method 欄位。 |
kubernetes.container_hash |
additional.fields |
原始記錄中的 kubernetes.container_hash 值會以鍵/值組合的形式,加入 additional.fields 中,並以「container_hash」做為鍵。 |
kubernetes.container_image |
additional.fields |
原始記錄中的 kubernetes.container_image 值會以鍵/值組合的形式新增至 additional.fields,並以「container_image」做為鍵。 |
kubernetes.container_name |
additional.fields |
原始記錄中的 kubernetes.container_name 值會以鍵/值組合的形式,加入 additional.fields 中,並以「container_name」做為鍵。 |
kubernetes.docker_id |
principal.asset_id |
原始記錄中的 kubernetes.docker_id 值會加上「id: 」前置字元,並對應至 principal.asset_id 欄位。 |
kubernetes.host |
principal.hostname、principal.ip |
原始記錄中的 kubernetes.host 值 (連字號已替換為點) 會剖析為 IP 位址,並在成功時對應至 principal.ip 欄位。否則會對應至 principal.hostname 欄位。 |
kubernetes.namespace |
principal.namespace |
原始記錄中的 kubernetes.namespace 值會對應至 principal.namespace 欄位。 |
kubernetes.namespace_name |
principal.namespace |
原始記錄中的 kubernetes.namespace_name 值會對應至 principal.namespace 欄位。 |
kubernetes.pod_id |
principal.asset.asset_id |
原始記錄中的 kubernetes.pod_id 值會加上「pod_id: 」前置字串,並對應至 principal.asset.asset_id 欄位。 |
kubernetes.pod_name |
additional.fields |
原始記錄中的 kubernetes.pod_name 值會以鍵/值組合的形式新增至 additional.fields,並以「Pod 名稱」做為鍵。 |
lambdaArn |
principal.hostname |
原始記錄中的 lambdaArn 值會對應至 principal.hostname 欄位。 |
level |
security_result.severity |
原始記錄中的 level 值會決定 security_result.severity 的值。如果 level 是「Info」,值就是「INFORMATIONAL」。如果 level 為「Error」,則值為「ERROR」。如果 level 為「Warning」,則值為「MEDIUM」。 |
log |
metadata.description |
如果 descr 為空,則原始記錄中的 log 值會對應至 metadata.description 欄位。 |
logFiles |
about |
針對原始記錄中 logFiles 陣列的每個元素,系統會建立 about 物件,並將 file.full_path 設為 s3Object、asset.hostname 設為 s3Bucket,以及 file.sha256 設為 hashValue。 |
log_processed.cause |
security_result.summary |
原始記錄中的 log_processed.cause 值會對應至 security_result.summary 欄位。 |
log_processed.ids |
intermediary.hostname |
針對原始記錄中的 log_processed.ids 陣列中的每個元素,系統會建立 intermediary 物件,並將 hostname 設為元素的值。 |
log_processed.level |
security_result.severity |
原始記錄中的 log_processed.level 值會對應至 security_result.severity 欄位。 |
log_processed.msg |
metadata.description |
原始記錄中的 log_processed.msg 值會對應至 metadata.description 欄位。 |
log_processed.ts |
metadata.event_timestamp |
原始記錄中的 log_processed.ts 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。 |
log_type |
metadata.log_type |
原始記錄中的 log_type 值會對應至 metadata.log_type 欄位。這是為提供背景資訊而新增的自訂欄位。 |
logevent.message |
security_result.description |
原始記錄中的 logevent.message 值會對應至 security_result.description 欄位。系統也會使用 grok 剖析這項資料,以擷取其他欄位。 |
logGroup |
security_result.about.resource.name |
原始記錄中的 logGroup 值會對應至 security_result.about.resource.name 欄位。 |
logStream |
security_result.about.resource.attribute.labels |
原始記錄中的 logStream 值會以鍵/值組合的形式,新增至 security_result.about.resource.attribute.labels,並以「logStream」做為鍵。 |
memory_used |
additional.fields |
原始記錄中的 memory_used 值會以鍵/值組合的形式加入 additional.fields,並以「memory_used」做為鍵。 |
metric_name |
additional.fields |
原始記錄中的 metric_name 值會以鍵/值組合的形式加入 additional.fields,並以「metric_name」做為鍵。 |
metric_stream_name |
additional.fields |
原始記錄中的 metric_stream_name 值會以鍵/值組合的形式,加入 additional.fields 中,並以「metric_stream_name」做為鍵。 |
namespace |
principal.namespace |
原始記錄中的 namespace 值會對應至 principal.namespace 欄位。 |
owner |
principal.user.userid |
原始記錄中的 owner 值會對應至 principal.user.userid 欄位。 |
parameters |
additional.fields |
原始記錄中的 parameters 值會以鍵/值組合的形式新增至 additional.fields,並以「Parameters」做為鍵。 |
Path |
principal.process.file.full_path |
原始記錄中的 Path 值會對應至 principal.process.file.full_path 欄位。 |
pid |
principal.process.pid |
原始記錄中的 pid 值會對應至 principal.process.pid 欄位。 |
PolicyName |
security_result.rule_name |
原始記錄中的 PolicyName 值會對應至 security_result.rule_name 欄位。 |
prin_host |
principal.hostname |
原始記錄中的 prin_host 值會對應至 principal.hostname 欄位。 |
principal_hostname |
principal.hostname |
原始記錄中的 principal_hostname 值會對應至 principal.hostname 欄位。 |
process |
principal.application |
原始記錄中的 process 值會對應至 principal.application 欄位。 |
rawData |
additional.fields |
原始記錄中的 rawData 值會以鍵/值組合的形式新增至 additional.fields,並以「原始資料」做為鍵。 |
Recommendation |
security_result.detection_fields |
原始記錄中的 Recommendation 值會以鍵/值組合的形式,新增至 security_result.detection_fields,並以「Recommendation」做為鍵。 |
referral_url |
network.http.referral_url |
原始記錄中的 referral_url 值會對應至 network.http.referral_url 欄位。 |
region |
principal.location.name |
原始記錄中的 region 值會對應至 principal.location.name 欄位。 |
resp_code |
network.http.response_code |
原始記錄中的 resp_code 值會轉換為整數,並對應至 network.http.response_code 欄位。 |
resource_url |
network.http.referral_url |
原始記錄中的 resource_url 值會對應至 network.http.referral_url 欄位。 |
ResourceType |
target.resource.resource_subtype |
原始記錄中的 ResourceType 值會對應至 target.resource.resource_subtype 欄位。 |
response_body |
additional.fields |
原始記錄中的 response_body 值會以鍵/值組合的形式,新增至 additional.fields,並以「回應內文」做為鍵。 |
Role |
target.resource.product_object_id |
原始記錄中的 Role 值會對應至 target.resource.product_object_id 欄位。 |
s3_bucket_path |
target.file.full_path |
原始記錄中的 s3_bucket_path 值會對應至 target.file.full_path 欄位。 |
sec_result.category |
security_result.category |
sec_result.category 的值衍生自剖析器邏輯。如果 descr 包含「authentication is required」,則值為「AUTH_VIOLATION」。 |
sec_result.description |
security_result.description |
sec_result.description 的值衍生自剖析器邏輯。如果存在,則會設為 cloudwatchLog 的值。 |
sec_result.severity |
security_result.severity |
sec_result.severity 的值衍生自剖析器邏輯。系統會根據 severity 或 level 的值設定這項屬性。 |
sec_result.summary |
security_result.summary |
sec_result.summary 的值衍生自剖析器邏輯。如果存在,則會設為 log_processed.cause 或 errorMessage 的值。 |
security_result |
security_result |
security_result 物件是由各種欄位和剖析器邏輯建構而成。 |
serverId |
additional.fields |
原始記錄中的 serverId 值會以鍵/值組合的形式新增至 additional.fields,並以「server_id」做為鍵。 |
severity |
security_result.severity |
原始記錄中的 severity 值會轉換為大寫並經過正規化處理,然後對應至 security_result.severity 欄位。 |
Source |
principal.hostname |
原始記錄中的 Source 值會對應至 principal.hostname 欄位。 |
source |
principal.hostname |
原始記錄中的 source 值會對應至 principal.hostname 欄位。 |
SourceIP |
principal.ip |
原始記錄中的 SourceIP 值會對應至 principal.ip 欄位。 |
src_port |
principal.port |
如果 src_port 為「80」,系統會將其轉換為整數並對應至 principal.port 欄位,且 network.application_protocol 會設為「HTTP」。 |
stream |
additional.fields |
原始記錄中的 stream 值會以鍵/值組合的形式,新增至 additional.fields,並以「stream」做為鍵。 |
subscriptionFilters |
security_result.about.resource.attribute.labels |
針對原始記錄中的 subscriptionFilters 陣列,系統會將鍵/值組合新增至 security_result.about.resource.attribute.labels,並將鍵設為「subscriptionFilter」,值則設為陣列中的值。 |
support_contact |
target.resource.attribute.labels |
原始記錄中的 support_contact 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Support Contact」做為鍵。 |
t_ip |
target.ip |
從原始記錄中移除連字號後,t_ip 的值會剖析為 IP 位址,並在成功時對應至 target.ip 欄位。 |
time |
metadata.event_timestamp |
原始記錄中的 time 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。 |
timestamp |
metadata.event_timestamp |
原始記錄中的 timestamp 值會轉換為各種格式的時間戳記,並對應至 metadata.event_timestamp 欄位。 |
tls |
network.tls.version |
原始記錄中的 tls 值會對應至 network.tls.version 欄位。 |
transferDetails.serverId |
additional.fields |
原始記錄中的 transferDetails.serverId 值會以鍵/值組合的形式新增至 additional.fields,並以「server_id」做為鍵。 |
transferDetails.sessionId |
network.session_id |
原始記錄中的 transferDetails.sessionId 值會對應至 network.session_id 欄位。 |
transferDetails.username |
principal.user.user_display_name |
原始記錄中的 transferDetails.username 值會對應至 principal.user.user_display_name 欄位。 |
ts |
metadata.event_timestamp |
系統會將原始記錄中的 ts 值 (如有時區) 轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。 |
type |
metadata.product_event_type |
原始記錄中的 type 值會對應至 metadata.product_event_type 欄位。 |
unit |
additional.fields |
原始記錄中的 unit 值會以鍵/值組合的形式,新增至 additional.fields,並以「unit」做為鍵。 |
url |
target.url |
原始記錄中的 url 值會對應至 target.url 欄位。 |
url_back_to_product |
metadata.url_back_to_product |
原始記錄中的 url_back_to_product 值會對應至 metadata.url_back_to_product 欄位。 |
User |
principal.user.userid |
原始記錄中的 User 值會對應至 principal.user.userid 欄位。 |
user |
target.user.userid、metadata.event_type、extensions.auth.mechanism |
如果存在 user,metadata.event_type 會設為「USER_LOGIN」,extensions.auth.mechanism 會設為「NETWORK」,且 user 的值會對應至 target.user.userid。 |
value.count |
additional.fields |
原始記錄中的 value.count 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「count」。 |
value.max |
additional.fields |
原始記錄中的 value.max 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「max」。 |
value.min |
additional.fields |
原始記錄中的 value.min 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「min」。 |
value.sum |
additional.fields |
原始記錄中的 value.sum 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「sum」。 |
workflowId |
additional.fields |
原始記錄中的 workflowId 值會以鍵/值組合的形式新增至 additional.fields,並以「workflowId」做為鍵。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。