AWS GuardDuty-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie AWS GuardDuty-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label GUARDDUTY.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Der AWS S3-Bucket wird erstellt. Informationen zum Erstellen des AWS S3-Buckets finden Sie unter Ersten S3-Bucket erstellen.
- KMS-Schlüssel wird erstellt. Informationen zum Erstellen des KMS-Schlüssels finden Sie unter Asymmetrische KMS-Schlüssel erstellen.
- AWS GuardDuty hat die Berechtigung, auf den KMS-Schlüssel zuzugreifen. Informationen zum Gewähren des Zugriffs auf den KMS-Schlüssel finden Sie unter Ergebnisse exportieren. GuardDuty verschlüsselt die Daten zu den Ergebnissen in Ihrem Bucket mit einem AWS KMS-Schlüssel.
AWS GuardDuty konfigurieren
So konfigurieren Sie AWS GuardDuty:
- Melden Sie sich in der AWS-Konsole an.
- Suchen Sie nach GuardDuty.
- Wählen Sie Einstellungen aus.
Führen Sie im Abschnitt Exportoption suchen folgende Schritte aus:
- Wählen Sie in der Liste Häufigkeit für aktualisierte Ergebnisse die Option CWE und S3 alle 15 Minuten aktualisieren aus. Die Häufigkeitsauswahl bezieht sich auf die aktualisierten Ergebnisse. Die neuen Ergebnisse werden 5 Minuten nach der Erstellung exportiert.
- Wählen Sie im Bereich S3-Bucket den S3-Bucket aus, in den Sie die GuardDuty-Ergebnisse exportieren möchten.
- Geben Sie im Bereich Präfix der Logdatei das Präfix der Logdatei an.
- Wählen Sie im Abschnitt KMS-Verschlüsselung die KMS-Verschlüsselung aus.
- Wählen Sie den Schlüssel aus der Liste Schlüsselalias aus.
- Klicken Sie auf Speichern.
Nachdem die Protokolldateien im S3-Bucket gespeichert wurden, erstellen Sie eine SQS-Warteschlange und hängen Sie sie an den S3-Bucket an.
Beispiel für eine KMS-Richtlinie
Hier ist ein Beispiel für eine KMS-Richtlinie:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
Ersetzen Sie Folgendes:
- AWS_REGION: die ausgewählte Region.
- KEY_ARN: Amazon-Ressourcenname (ARN) des KMS-Schlüssels.
Prüfen Sie die erforderlichen IAM-Nutzer- und KMS-Schlüsselrichtlinien für S3, SQS und KMS.
Ermitteln Sie anhand des Dienstes und der Region die Endpunkte für die Verbindung. Verwenden Sie dazu die folgende AWS-Dokumentation:
- Informationen zu Protokollierungsquellen finden Sie unter AWS Identity and Access Management-Endpunkte und ‑Kontingente.
- Informationen zu S3-Logging-Quellen finden Sie unter Amazon Simple Storage Service-Endpunkte und ‑Kontingente.
- Informationen zu SQS-Logging-Quellen finden Sie unter Amazon Simple Queue Service-Endpunkte und ‑Kontingente.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie Amazon S3 oder Amazon SQS als Quelltyp aus.
- Wählen Sie AWS GuardDuty als Logtyp aus.
- Klicken Sie auf Weiter und dann auf Senden.
- Google Security Operations unterstützt die Erfassung von Logs mithilfe einer Zugriffsschlüssel-ID und einer geheimen Methode. Informationen zum Erstellen der Zugriffsschlüssel-ID und des Secrets finden Sie unter Tool-Authentifizierung mit AWS konfigurieren.
Geben Sie basierend auf der von Ihnen erstellten AWS GuardDuty-Konfiguration Werte für die folgenden Felder an.
- Wenn Sie Amazon S3 verwenden
- Region
- S3-URI
- URI ist ein
- Option zum Löschen der Quelle
- Bei Verwendung von Amazon SQS
- Region
- Name der Warteschlange
- Kontonummer
- Warteschlangen-Zugriffsschlüssel-ID
- Geheimer Zugriffsschlüssel für die Warteschlange
- Option zum Löschen der Quelle
Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
Wenn Sie Amazon S3 verwenden:
- Region
- S3-URI
- URI ist ein
- Option zum Löschen der Quelle
Wenn Sie Amazon SQS verwenden:
- Region
- Name der Warteschlange
- Kontonummer
- Warteschlangen-Zugriffsschlüssel-ID
- Geheimer Zugriffsschlüssel für die Warteschlange
- Option zum Löschen der Quelle
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Referenz zur Feldzuordnung
Dieser Parsercode verarbeitet AWS GuardDuty-Ergebnisse im JSON-Format, extrahiert relevante Felder und ordnet sie einem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Es führt Datentransformationen durch, darunter String-Ersetzungen, das Zusammenführen von Arrays und das Konvertieren von Datentypen, um eine strukturierte Darstellung des Sicherheitsereignisses für die Analyse und Korrelation zu erstellen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| accountId | principal.group.product_object_id | Die AWS-Konto-ID, die mit dem Ergebnis verknüpft ist. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | Liste der Ports, die während eines Port-Sweep gescannt wurden. |
| additionalInfo.sample | security_result.about.labels.value | Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt. |
| additionalInfo.threatListName | security_result.threat_feed_name | Der Name der Bedrohungsliste, die das Ergebnis ausgelöst hat. |
| additionalInfo.threatName | security_result.threat_name | Der Name der Bedrohung, die das Ergebnis ausgelöst hat. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | Der vollständige User-Agent-String, der mit dem Ergebnis verknüpft ist. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | Die Kategorie des User-Agents, der mit dem Ergebnis verknüpft ist. |
| arn | target.asset.attribute .cloud.project.product_object_id |
Der Amazon Resource Name (ARN) des Findings. |
| detail.accountId | principal.group.product_object_id | Die AWS-Konto-ID, die mit dem Ergebnis verknüpft ist. |
| detail.description | security_result.description | Eine detaillierte Beschreibung des Ergebnisses. |
| detail.id | target.asset.attribute.cloud.project.id | Eine eindeutige ID für das Ergebnis. |
| detail.resource.accessKeyDetails | principal.user | Details zum AWS-Zugriffsschlüssel, der im Ergebnis enthalten ist. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | Die ID des AWS-Zugriffsschlüssels, der mit dem Ergebnis in Verbindung steht. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | Die Prinzipal-ID des AWS-Zugriffsschlüssels, der mit dem Ergebnis in Verbindung steht. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | Der Nutzertyp, der dem AWS-Zugriffsschlüssel zugeordnet ist, der im Ergebnis enthalten ist. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | Der Name des Nutzers, der mit dem im Ergebnis enthaltenen AWS-Zugriffsschlüssel verknüpft ist. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | Der ARN des S3-Buckets, der im Ergebnis enthalten ist. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Der Typ der serverseitigen Verschlüsselung, die für den S3-Bucket verwendet wird, der vom Ergebnis betroffen ist. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | Der Name des S3-Buckets, der in dem Ergebnis enthalten ist. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | Die ID des Inhabers des S3-Buckets, der mit dem Ergebnis in Verbindung steht. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | Die effektive Berechtigung des S3-Buckets, der in den Befund einbezogen ist. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Access Control List (ACL) öffentlichen Lesezugriff zulässt. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Zugriffssteuerungsliste (Access Control List, ACL) öffentlichen Schreibzugriff zulässt. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Bucket-Richtlinie öffentlichen Lesezugriff zulässt. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Bucket-Richtlinie öffentlichen Schreibzugriff zulässt. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | Der Typ des S3-Buckets, der in das Ergebnis einbezogen ist. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | Die Art der Aktion, die mit der Erkenntnis verknüpft ist. |
| detail.service.action .awsApiCallAction.api |
principal.application | Der Name des AWS-API-Aufrufs, der mit dem Ergebnis zusammenhängt. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Der Typ des Aufrufers, der den AWS API-Aufruf ausgeführt hat, der mit dem Ergebnis zusammenhängt. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Der Domainname, der dem AWS-API-Aufruf zugeordnet ist, der im Ergebnis enthalten ist. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, über die der AWS-API-Aufruf erfolgt ist, der mit dem Ergebnis zusammenhängt. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | Der Breitengrad der Remote-IP-Adresse, von der der AWS-API-Aufruf erfolgte, der mit dem Ergebnis zusammenhängt. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | Der Längengrad der Remote-IP-Adresse, von der der AWS-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | Die IP-Adresse, von der der AWS-API-Aufruf gesendet wurde, der mit dem Ergebnis zusammenhängt. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | Der Name des AWS-Dienstes, der an der Suche beteiligt ist. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | Gibt an, ob die DNS-Anfrage blockiert wurde. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | Der Domainname, der mit der DNS-Anfrage verknüpft ist, die im Ergebnis enthalten ist. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | Das Protokoll, das für die DNS-Anfrage verwendet wird, die mit dem Ergebnis zusammenhängt. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | Gibt an, ob die Netzwerkverbindung blockiert wurde. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | Die Richtung der Netzwerkverbindung, die mit dem Ergebnis zusammenhängt. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | Die lokale IP-Adresse, die an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | Der lokale Port, der an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Der Name des lokalen Ports, der an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | Das Protokoll, das für die Netzwerkverbindung verwendet wird, die mit dem Ergebnis zusammenhängt. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Der Name der Stadt, die mit der Remote-IP-Adresse verknüpft ist, die an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, die an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | Die Remote-IP-Adresse, die an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | Der Remoteport, der an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Der Name des Remoteports, der an der Netzwerkverbindung beteiligt ist. |
| detail.service.action .portProbeAction.blocked |
security_result.action | Gibt an, ob die Portprüfung blockiert wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | Der lokale Port, der geprüft wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | Der Name des lokalen Ports, der geprüft wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | Der Name der Stadt, die mit der Remote-IP-Adresse verknüpft ist, von der die Portprüfung durchgeführt wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, von der die Portprüfung durchgeführt wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | Der Breitengrad der Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | Der Längengrad der Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | Die Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | Der Name der Bedrohungsliste, die das Ergebnis ausgelöst hat. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | Der Name der Bedrohung, die das Ergebnis ausgelöst hat. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | Der vollständige User-Agent-String, der mit dem Ergebnis verknüpft ist. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | Die Kategorie des User-Agents, der mit dem Ergebnis verknüpft ist. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
Zusätzliche Informationen zum Ergebnis. |
| detail.title | security_result.summary | Ein kurzer Titel für das Ergebnis. |
| detail.type | metadata.product_event_type | Die Art des Ergebnisses. |
| detail.updatedAt | metadata.event_timestamp | Der Zeitpunkt, zu dem das Ergebnis zuletzt aktualisiert wurde. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
Der Ereignistyp, der den Befund ausgelöst hat. |
| Partition | target.asset.attribute .cloud.project.type |
Die AWS-Partition, in der das Ergebnis aufgetreten ist. |
| resource.accessKeyDetails | principal.user | Details zum AWS-Zugriffsschlüssel, der im Ergebnis enthalten ist. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | Die ID des AWS-Zugriffsschlüssels, der mit dem Ergebnis in Verbindung steht. |
| resource.accessKeyDetails.principalId | principal.user.userid | Die Prinzipal-ID des AWS-Zugriffsschlüssels, der mit dem Ergebnis in Verbindung steht. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | Der Nutzertyp, der dem AWS-Zugriffsschlüssel zugeordnet ist, der im Ergebnis enthalten ist. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | Der Name des Nutzers, der mit dem im Ergebnis enthaltenen AWS-Zugriffsschlüssel verknüpft ist. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | Die Verfügbarkeitszone der EC2-Instanz, die vom Ergebnis betroffen ist. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Die Beschreibung des AMI, das zum Starten der EC2-Instanz verwendet wurde, die vom Ergebnis betroffen ist. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
Die ID des AMI, das zum Starten der EC2-Instanz verwendet wurde, die vom Ergebnis betroffen ist. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | Der ARN des IAM-Instanzprofils, das der EC2-Instanz zugeordnet ist, die am Ergebnis beteiligt ist. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | Die ID des IAM-Instanzprofils, das der EC2-Instanz zugeordnet ist, die am Ergebnis beteiligt ist. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | Die ID der EC2-Instanz, die vom Ergebnis betroffen ist. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | Der Status der EC2-Instanz, die vom Befund betroffen ist. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | Der Typ der EC2-Instanz, die in das Ergebnis einbezogen ist. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | Die Uhrzeit, zu der die EC2-Instanz, die an dem Ergebnis beteiligt ist, gestartet wurde. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | Die ID der Netzwerkschnittstelle, die mit der EC2-Instanz verknüpft ist, die an dem Ergebnis beteiligt ist. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | Der private DNS-Name der Netzwerkschnittstelle, die der EC2-Instanz zugeordnet ist, die im Ergebnis enthalten ist. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | Der öffentliche DNS-Name der Netzwerkschnittstelle, die mit der EC2-Instanz verknüpft ist, die im Ergebnis enthalten ist. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | Die öffentliche IP-Adresse der Netzwerkschnittstelle, die mit der EC2-Instanz verknüpft ist, die im Ergebnis enthalten ist. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | Die private IP-Adresse der Netzwerkschnittstelle, die mit der EC2-Instanz verknüpft ist, die vom Ergebnis betroffen ist. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | Die ID der Sicherheitsgruppe, die mit der Netzwerkschnittstelle der EC2-Instanz verknüpft ist, die an dem Ergebnis beteiligt ist. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | Der Name der Sicherheitsgruppe, die der Netzwerkschnittstelle der EC2-Instanz zugeordnet ist, die an der Problembehebung beteiligt ist. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | Die ID des Subnetzes, das der Netzwerkschnittstelle der EC2-Instanz zugeordnet ist, die im Ergebnis enthalten ist. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | Die ID der VPC, die mit der Netzwerkschnittstelle der EC2-Instanz verknüpft ist, die vom Ergebnis betroffen ist. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | Der ARN des Outposts, der der EC2-Instanz zugeordnet ist, die im Ergebnis enthalten ist. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | Die Plattform der EC2-Instanz, die vom Ergebnis betroffen ist. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | Der Typ des Produktcodes, der der EC2-Instanz zugeordnet ist, die an der Erkenntnis beteiligt ist. |
| resource.instanceDetails.tags | target.asset.attribute.labels | Die Tags, die mit der EC2-Instanz verknüpft sind, die am Ergebnis beteiligt ist. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | Der Nutzername des Kubernetes-Nutzers, der an der Suche beteiligt ist. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
Die Kennung des RDS-DB-Clusters, der in das Ergebnis einbezogen ist. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | Der ARN der RDS-Datenbankinstanz, die im Ergebnis enthalten ist. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | Die Kennung der RDS-DB-Instanz, die an der Suche beteiligt ist. |
| resource.rdsDbUserDetails.user | principal.user.userid | Der Nutzername des RDS-Datenbanknutzers, der an der Feststellung beteiligt ist. |
| resource.resourceType | target.resource.resource_subtype | Der Typ der Ressource, die von der Erkenntnis betroffen ist. |
| resource.s3BucketDetails | principal.resource.attribute.labels | Details zum S3-Bucket, der im Ergebnis enthalten ist. |
| resource.s3BucketDetails.0.arn | target.resource.name | Der ARN des S3-Buckets, der im Ergebnis enthalten ist. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Der Zeitpunkt, zu dem der S3-Bucket, der in das Ergebnis einbezogen wurde, erstellt wurde. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Der Typ der serverseitigen Verschlüsselung, die für den S3-Bucket verwendet wird, der vom Ergebnis betroffen ist. |
| resource.s3BucketDetails.0.name | target.resource.name | Der Name des S3-Buckets, der in dem Ergebnis enthalten ist. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | Die ID des Inhabers des S3-Buckets, der mit dem Ergebnis in Verbindung steht. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | Die effektive Berechtigung des S3-Buckets, der in den Befund einbezogen ist. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für das Konto Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Access Control List (ACL) öffentlichen Lesezugriff zulässt. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Zugriffssteuerungsliste (Access Control List, ACL) öffentlichen Schreibzugriff zulässt. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob für den Bucket Blöcke für den öffentlichen Zugriff aktiviert sind. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Bucket-Richtlinie öffentlichen Lesezugriff zulässt. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob die Bucket-Richtlinie öffentlichen Schreibzugriff zulässt. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
Die Tags, die dem S3-Bucket zugeordnet sind, der in dem Ergebnis enthalten ist. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | Der Typ des S3-Buckets, der in das Ergebnis einbezogen ist. |
| service.action .actionType |
principal.group.attribute.labels.value | Die Art der Aktion, die mit der Erkenntnis verknüpft ist. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Der Name des AWS CloudTrail-Trails, der im Ergebnis enthalten ist. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Der Name des S3-Buckets, der in dem Ergebnis enthalten ist. |
| service.action .awsApiCallAction.api |
principal.application | Der Name des AWS-API-Aufrufs, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Der Typ des Aufrufers, der den AWS API-Aufruf ausgeführt hat, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Der Domainname, der dem AWS-API-Aufruf zugeordnet ist, der im Ergebnis enthalten ist. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | Der Fehlercode, der mit dem AWS-API-Aufruf verknüpft ist, der zum Ergebnis geführt hat. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, über die der AWS-API-Aufruf erfolgt ist, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | Der Breitengrad der Remote-IP-Adresse, von der der AWS-API-Aufruf erfolgte, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | Der Längengrad der Remote-IP-Adresse, von der der AWS-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | Die IP-Adresse, von der der AWS-API-Aufruf gesendet wurde, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
Die Nummer des autonomen Systems (Autonomous System Number, ASN) der Organisation, die der Remote-IP-Adresse zugeordnet ist, von der der AWS-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
Der Name der Organisation, die mit der Remote-IP-Adresse verknüpft ist, von der der AWS-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
Der Name des Internetanbieters (ISP), der mit der Remote-IP-Adresse verknüpft ist, über die der AWS-API-Aufruf erfolgt ist, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
Der Name der Organisation, die mit der Remote-IP-Adresse verknüpft ist, von der der AWS-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .awsApiCallAction.serviceName |
metadata.description | Der Name des AWS-Dienstes, der an der Suche beteiligt ist. |
| service.action .dnsRequestAction.blocked |
security_result.action | Gibt an, ob die DNS-Anfrage blockiert wurde. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | Der Domainname, der mit der DNS-Anfrage verknüpft ist, die im Ergebnis enthalten ist. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | Das Protokoll, das für die DNS-Anfrage verwendet wird, die mit dem Ergebnis zusammenhängt. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, über die der Kubernetes-API-Aufruf erfolgt ist, der im Ergebnis enthalten ist. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | Der Breitengrad der Remote-IP-Adresse, von der der Kubernetes-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | Der Längengrad der Remote-IP-Adresse, von der der Kubernetes-API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | Die IP-Adresse, von der der Kubernetes API-Aufruf stammt, der mit dem Ergebnis zusammenhängt. |
| service.action .networkConnectionAction.blocked |
security_result.action | Gibt an, ob die Netzwerkverbindung blockiert wurde. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | Die Richtung der Netzwerkverbindung, die mit dem Ergebnis zusammenhängt. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | Die lokale IP-Adresse, die an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | Der lokale Port, der an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Der Name des lokalen Ports, der an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | Das Protokoll, das für die Netzwerkverbindung verwendet wird, die mit dem Ergebnis zusammenhängt. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Der Name der Stadt, die mit der Remote-IP-Adresse verknüpft ist, die an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, die an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | Die Remote-IP-Adresse, die an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | Der Remoteport, der an der Netzwerkverbindung beteiligt ist. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Der Name des Remoteports, der an der Netzwerkverbindung beteiligt ist. |
| service.action .portProbeAction.blocked |
security_result.action | Gibt an, ob die Portprüfung blockiert wurde. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | Der lokale Port, der geprüft wurde. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | Der Name des lokalen Ports, der geprüft wurde. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | Der Name der Stadt, die mit der Remote-IP-Adresse verknüpft ist, von der die Portprüfung durchgeführt wurde. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | Der Name des Landes, das mit der Remote-IP-Adresse verknüpft ist, von der die Portprüfung durchgeführt wurde. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | Der Breitengrad der Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | Der Längengrad der Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | Die Remote-IP-Adresse, von der die Portprüfung durchgeführt wurde. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | Ein Beispiel für die gescannten Ports. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | Eine Liste der zuletzt verwendeten Anmeldedaten. |
| service.additionalInfo.sample | security_result.about .labels.value |
Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | Der Name der Bedrohungsliste, die das Ergebnis ausgelöst hat. |
| service.additionalInfo.threatName | security_result.threat_name | Der Name der Bedrohung, die das Ergebnis ausgelöst hat. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | Der vollständige User-Agent-String, der mit dem Ergebnis verknüpft ist. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
Die Kategorie des User-Agents, der mit dem Ergebnis verknüpft ist. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
Zusätzliche Informationen zum Ergebnis. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
Gibt an, ob der Befund archiviert ist. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Gibt an, wie oft das Ereignis aufgetreten ist. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
Die ID des GuardDuty-Detektors, der das Ergebnis generiert hat. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
Die Gesamtzahl der Bedrohungen, die während des EBS-Volume-Scans erkannt wurden. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten