Recoger registros de AWS GuardDuty

Disponible en:

En este documento se describe cómo puede recoger registros de AWS GuardDuty configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión GUARDDUTY.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Se crea el segmento de AWS S3. Para crear el segmento de AWS S3, consulta Crear tu primer segmento de S3.
  • Se crea la clave de KMS. Para crear la clave de KMS, consulta Crear claves de KMS asimétricas.
  • AWS GuardDuty tiene permiso para acceder a la clave de KMS. Para conceder acceso a la clave de KMS, consulta Exportar resultados. GuardDuty encripta los datos de los resultados de su segmento mediante una clave de KMS de AWS.

Configurar AWS GuardDuty

Para configurar AWS GuardDuty, haz lo siguiente:

  1. Inicia sesión en la consola de AWS.
  2. Busca GuardDuty.
  3. Selecciona Configuración.

  4. En la sección Buscar la opción de exportación, haz lo siguiente:

    1. En la lista Frecuencia de las conclusiones actualizadas, selecciona Actualizar CWE y S3 cada 15 minutos. La selección de frecuencia es para los resultados actualizados. Los nuevos resultados se exportan 5 minutos después de la hora de creación.
    2. En la sección Segmento de S3, selecciona el segmento de S3 al que quieras exportar las detecciones de GuardDuty.
    3. En la sección Prefijo del archivo de registro, indica el prefijo del archivo de registro.
    4. En la sección Cifrado de KMS, selecciona el cifrado de KMS.
    5. En la lista Alias de clave, selecciona la clave.
    6. Haz clic en Guardar.

  5. Una vez que los archivos de registro se hayan almacenado en el segmento de S3, cree una cola de SQS y adjúntela al segmento de S3.

Política de KMS de ejemplo

A continuación, se muestra una política de KMS de ejemplo:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Haz los cambios siguientes:

  • AWS_REGION: la región elegida.
  • KEY_ARN: nombre de recurso de Amazon (ARN) de la clave de KMS.

Comprueba las políticas de usuario de gestión de identidades y accesos y de claves de KMS necesarias para S3, SQS y KMS.

En función del servicio y la región, identifique los endpoints para la conectividad consultando la siguiente documentación de AWS:

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. Introduce un nombre único para el nombre del feed.
  5. Selecciona Amazon S3 V2 o Amazon SQS V2 como Tipo de fuente.
  6. Seleccione AWS GuardDuty como Tipo de registro.
  7. Haz clic en Siguiente y, a continuación, en Enviar.
  8. Google Security Operations admite la recogida de registros mediante un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Configurar la autenticación de la herramienta con AWS.

  9. En función de la configuración de AWS GuardDuty que haya creado, especifique los valores de los siguientes campos.

    1. Si usas Amazon S3 V2

      • **URI de S3**
      • **Opción de eliminación de fuentes**
      • **Edad máxima del archivo**

    2. Si usas Amazon SQS V2
      • Nombre de la cola
      • Número de cuenta
      • ID de clave de acceso a la cola
      • Poner en cola la clave de acceso secreta
      • Opción de eliminación de la fuente
      • Antigüedad máxima de los archivos

  10. Haz clic en Siguiente y, a continuación, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta el artículo Configuración de feeds por tipo. Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de Operaciones de Seguridad de Google.

Referencia de asignación de campos

Este código de analizador procesa las detecciones de AWS GuardDuty en formato JSON, extrae los campos relevantes y los asigna a un modelo de datos unificado (UDM). Realiza transformaciones de datos, como sustituciones de cadenas, combinaciones de arrays y conversiones de tipos de datos, para crear una representación estructurada del evento de seguridad para su análisis y correlación.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accountId principal.group.product_object_id El ID de cuenta de AWS asociado a la detección.
additionalInfo.portsScannedSample event.idm.read_only_udm.about.port Lista de puertos analizados durante un análisis de puertos.
additionalInfo.sample security_result.about.labels.value Indica si la detección es una detección de muestra.
additionalInfo.threatListName security_result.threat_feed_name Nombre de la lista de amenazas que ha activado el hallazgo.
additionalInfo.threatName security_result.threat_name Nombre de la amenaza que ha activado el hallazgo.
additionalInfo.userAgent
.fullUserAgent		 network.http.user_agent La cadena de user-agent completa asociada al hallazgo.
additionalInfo.userAgent
.userAgentCategory		 security_result.detection_fields.value La categoría del user-agent asociado a la detección.
arn target.asset.attribute
.cloud.project.product_object_id		 Nombre de recurso de Amazon (ARN) del hallazgo.
detail.accountId principal.group.product_object_id El ID de cuenta de AWS asociado a la detección.
detail.description security_result.description Una descripción detallada de la conclusión.
detail.id target.asset.attribute.cloud.project.id ID único del resultado.
detail.resource.accessKeyDetails principal.user Detalles sobre la clave de acceso de AWS implicada en la detección.
detail.resource.accessKeyDetails
.accessKeyId		 principal.user.userid ID de la clave de acceso de AWS implicada en la detección.
detail.resource.accessKeyDetails
.principalId		 principal.user.userid ID principal de la clave de acceso de AWS implicada en la detección.
detail.resource.accessKeyDetails
.userType		 principal.user.attribute.roles.name El tipo de usuario asociado a la clave de acceso de AWS implicada en la detección.
detail.resource.accessKeyDetails
.userName		 principal.user.user_display_name Nombre del usuario asociado a la clave de acceso de AWS implicada en el hallazgo.
detail.resource.s3BucketDetails
.0.arn		 target.resource.name El ARN del bucket de S3 implicado en el hallazgo.
detail.resource.s3BucketDetails
.0.defaultServerSideEncryption.encryptionType		 network.tls.client.supported_ciphers El tipo de cifrado del lado del servidor que se ha usado en el bucket de S3 implicado en la detección.
detail.resource.s3BucketDetails
.0.name		 target.resource.name Nombre del segmento de S3 implicado en la detección.
detail.resource.s3BucketDetails
.0.owner.id		 target.resource.attribute.labels.value El ID del propietario del segmento de S3 implicado en la detección.
detail.resource.s3BucketDetails
.0.publicAccess.effectivePermission		 target.resource.attribute.labels.value El permiso efectivo del bucket de S3 implicado en la detección.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.blockPublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.blockPublicPolicy		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.ignorePublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.restrictPublicBuckets		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.accessControlList
.allowsPublicReadAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la lista de control de acceso (LCA) permite el acceso de lectura público.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.accessControlList
.allowsPublicWriteAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la lista de control de acceso (LCA) permite el acceso de escritura público.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.blockPublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.blockPublicPolicy		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.ignorePublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.restrictPublicBuckets		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.bucketPolicy
.allowsPublicReadAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la política del segmento permite el acceso de lectura público.
detail.resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.bucketPolicy
.allowsPublicWriteAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la política del segmento permite el acceso de escritura público.
detail.resource.s3BucketDetails
.0.type		 target.resource.attribute.labels.value El tipo de contenedor de S3 implicado en el resultado.
detail.service.action
.actionType		 principal.group.attribute.labels.value El tipo de acción asociada al resultado.
detail.service.action
.awsApiCallAction.api		 principal.application El nombre de la llamada a la API de AWS implicada en la detección.
detail.service.action
.awsApiCallAction.callerType		 principal.group.attribute.labels.value El tipo de llamador que ha realizado la llamada a la API de AWS implicada en el hallazgo.
detail.service.action
.awsApiCallAction.domainDetails.domain		 network.dns.questions.name El nombre de dominio asociado a la llamada a la API de AWS implicada en la detección.
detail.service.action.awsApiCallAction
.remoteIpDetails.country.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
detail.service.action.awsApiCallAction
.remoteIpDetails.geoLocation.lat		 target.location.region_latitude Latitud de la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
detail.service.action.awsApiCallAction
.remoteIpDetails.geoLocation.lon		 target.location.region_longitude La longitud de la dirección IP remota que ha realizado la llamada a la API de AWS implicada en el hallazgo.
detail.service.action
.awsApiCallAction.remoteIpDetails.ipAddressV4		 target.ip La dirección IP que ha realizado la llamada a la API de AWS implicada en la detección.
detail.service.action
.awsApiCallAction.serviceName		 metadata.description El nombre del servicio de AWS implicado en la detección.
detail.service.action
.dnsRequestAction.blocked		 security_result.action Indica si se ha bloqueado la solicitud de DNS.
detail.service.action
.dnsRequestAction.domain		 principal.administrative_domain El nombre de dominio asociado a la solicitud de DNS implicada en el hallazgo.
detail.service.action
.dnsRequestAction.protocol		 network.ip_protocol El protocolo utilizado para la solicitud de DNS implicada en el hallazgo.
detail.service.action
.networkConnectionAction.blocked		 security_result.action Si se ha bloqueado la conexión de red.
detail.service.action
.networkConnectionAction.connectionDirection		 network.direction La dirección de la conexión de red implicada en el hallazgo.
detail.service.action
.networkConnectionAction.localIpDetails
.ipAddressV4		 principal.ip La dirección IP local implicada en la conexión de red.
detail.service.action
.networkConnectionAction.localPortDetails
.port		 principal.port El puerto local implicado en la conexión de red.
detail.service.action
.networkConnectionAction.localPortDetails
.portName		 principal.application Nombre del puerto local implicado en la conexión de red.
detail.service.action
.networkConnectionAction.protocol		 network.ip_protocol El protocolo utilizado para la conexión de red implicada en el hallazgo.
detail.service.action
.networkConnectionAction.remoteIpDetails
.city.cityName		 target.location.city Nombre de la ciudad asociada a la dirección IP remota implicada en la conexión de red.
detail.service.action
.networkConnectionAction.remoteIpDetails
.country.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota implicada en la conexión de red.
detail.service.action
.networkConnectionAction.remoteIpDetails
.ipAddressV4		 target.ip La dirección IP remota implicada en la conexión de red.
detail.service.action
.networkConnectionAction.remotePortDetails
.port		 target.port El puerto remoto implicado en la conexión de red.
detail.service.action
.networkConnectionAction.remotePortDetails
.portName		 target.application Nombre del puerto remoto implicado en la conexión de red.
detail.service.action
.portProbeAction.blocked		 security_result.action Indica si se ha bloqueado la comprobación del puerto.
detail.service.action
.portProbeAction.portProbeDetails
.0.localPortDetails.port		 target.port El puerto local que se ha analizado.
detail.service.action
.portProbeAction.portProbeDetails
.0.localPortDetails.portName		 principal.application Nombre del puerto local que se ha analizado.
detail.service.action
.portProbeAction.portProbeDetails
.0.remoteIpDetails.city.cityName		 target.location.city Nombre de la ciudad asociada a la dirección IP remota que ha realizado la comprobación de puertos.
detail.service.action
.portProbeAction.portProbeDetails
.0.remoteIpDetails.country.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota que ha realizado la comprobación de puertos.
detail.service.action
.portProbeAction.portProbeDetails
.0.remoteIpDetails.geoLocation.lat		 target.location.region_latitude La latitud de la dirección IP remota que ha realizado la comprobación de puertos.
detail.service.action
.portProbeAction.portProbeDetails
.0.remoteIpDetails.geoLocation.lon		 target.location.region_longitude La longitud de la dirección IP remota que ha realizado la comprobación de puertos.
detail.service.action
.portProbeAction.portProbeDetails
.0.remoteIpDetails.ipAddressV4		 target.ip La dirección IP remota que ha realizado la comprobación de puertos.
detail.service.additionalInfo
.threatListName		 security_result.threat_feed_name Nombre de la lista de amenazas que ha activado el hallazgo.
detail.service.additionalInfo
.threatName		 security_result.threat_name Nombre de la amenaza que ha activado el hallazgo.
detail.service.additionalInfo
.userAgent.fullUserAgent		 network.http.user_agent La cadena de user-agent completa asociada al hallazgo.
detail.service.additionalInfo
.userAgent.userAgentCategory		 security_result.detection_fields.value La categoría del user-agent asociado a la detección.
detail.service.additionalInfo
.value		 security_result.about
.resource.attribute.labels.value		 Información adicional sobre el hallazgo.
detail.title security_result.summary Un título breve para el resultado.
detail.type metadata.product_event_type El tipo de resultado.
detail.updatedAt metadata.event_timestamp Hora a la que se actualizó la detección por última vez.
detail-type event.idm.read_only_udm
.additional.fields.value.string_value		 El tipo de evento que ha activado el resultado.
partición target.asset.attribute
.cloud.project.type		 La partición de AWS en la que se ha producido el hallazgo.
resource.accessKeyDetails principal.user Detalles sobre la clave de acceso de AWS implicada en la detección.
resource.accessKeyDetails.accessKeyId principal.user.userid ID de la clave de acceso de AWS implicada en la detección.
resource.accessKeyDetails.principalId principal.user.userid ID principal de la clave de acceso de AWS implicada en la detección.
resource.accessKeyDetails.userType principal.user.attribute.roles.name El tipo de usuario asociado a la clave de acceso de AWS implicada en la detección.
resource.accessKeyDetails.userName principal.user.user_display_name Nombre del usuario asociado a la clave de acceso de AWS implicada en el hallazgo.
resource.instanceDetails.availabilityZone target.asset.attribute.cloud.availability_zone La zona de disponibilidad de la instancia EC2 implicada en la detección.
resource.instanceDetails.imageDescription event.idm.read_only_udm
.principal.resource.attribute.labels.value		 La descripción de la AMI usada para lanzar la instancia de EC2 implicada en la detección.
resource.instanceDetails.imageId event.idm.read_only_udm
.additional.fields.value.string_value		 El ID de la AMI usada para lanzar la instancia EC2 implicada en la detección.
resource.instanceDetails
.iamInstanceProfile.arn		 target.resource.attribute.labels.value Es el ARN del perfil de instancia de IAM asociado a la instancia de EC2 implicada en la detección.
resource.instanceDetails
.iamInstanceProfile.id		 target.resource.attribute.labels.value Es el ID del perfil de instancia de IAM asociado a la instancia de EC2 implicada en la detección.
resource.instanceDetails.instanceId target.resource.product_object_id Es el ID de la instancia de EC2 implicada en la detección.
resource.instanceDetails.instanceState target.resource.attribute.labels.value El estado de la instancia de EC2 implicada en la detección.
resource.instanceDetails.instanceType target.resource.attribute.labels.value El tipo de instancia de EC2 implicada en el resultado.
resource.instanceDetails
.launchTime		 target.resource.attribute.creation_time La hora a la que se lanzó la instancia de EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.networkInterfaceId		 target.resource.attribute.labels.value ID de la interfaz de red asociada a la instancia de EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.privateDnsName		 target.resource.attribute.labels.value El nombre de DNS privado de la interfaz de red asociada a la instancia EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.publicDnsName		 target.resource.attribute.labels.value El nombre DNS público de la interfaz de red asociada a la instancia de EC2 implicada en el hallazgo.
resource.instanceDetails
.networkInterfaces.0.publicIp		 principal.ip La dirección IP pública de la interfaz de red asociada a la instancia EC2 implicada en el hallazgo.
resource.instanceDetails
.networkInterfaces.0.privateIpAddress		 principal.ip La dirección IP privada de la interfaz de red asociada a la instancia de EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.securityGroups
.0.groupId		 target.user.group_identifiers ID del grupo de seguridad asociado a la interfaz de red de la instancia de EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.securityGroups
.0.groupName		 target.user.group_identifiers Nombre del grupo de seguridad asociado a la interfaz de red de la instancia de EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.subnetId		 target.resource.attribute.labels.value ID de la subred asociada a la interfaz de red de la instancia EC2 implicada en la detección.
resource.instanceDetails
.networkInterfaces.0.vpcId		 target.asset.attribute.cloud.vpc.id Es el ID de la VPC asociada a la interfaz de red de la instancia EC2 implicada en la detección.
resource.instanceDetails.outpostArn target.resource.attribute.labels.value El ARN del puesto de avanzada asociado a la instancia de EC2 implicada en el hallazgo.
resource.instanceDetails.platform target.asset.platform_software.platform_version La plataforma de la instancia de EC2 implicada en la detección.
resource.instanceDetails
.productCodes.0.productCodeType		 target.resource.type El tipo de código de producto asociado a la instancia EC2 implicada en la detección.
resource.instanceDetails.tags target.asset.attribute.labels Las etiquetas asociadas a la instancia de EC2 implicada en el hallazgo.
resource.kubernetesDetails
.kubernetesUserDetails.username		 principal.user.userid Nombre de usuario de Kubernetes implicado en la detección.
resource.rdsDbInstanceDetails
.dbClusterIdentifier		 event.idm.read_only_udm
.target.resource_ancestors.product_object_id		 El identificador del clúster de base de datos de RDS implicado en la detección.
resource.rdsDbInstanceDetails
.dbInstanceArn		 target.resource.name El ARN de la instancia de base de datos de RDS implicada en el hallazgo.
resource.rdsDbInstanceDetails
.dbInstanceIdentifier		 target.resource.product_object_id El identificador de la instancia de base de datos de RDS implicada en la detección.
resource.rdsDbUserDetails.user principal.user.userid Nombre de usuario de la base de datos de RDS implicado en la detección.
resource.resourceType target.resource.resource_subtype El tipo de recurso implicado en el resultado.
resource.s3BucketDetails principal.resource.attribute.labels Detalles sobre el bucket de S3 implicado en la detección.
resource.s3BucketDetails.0.arn target.resource.name El ARN del bucket de S3 implicado en el hallazgo.
resource.s3BucketDetails.0.createdAt event.idm.read_only_udm
.principal.resource.attribute.labels.value		 Hora en la que se creó el segmento de S3 implicado en el resultado.
resource.s3BucketDetails.0
.defaultServerSideEncryption.encryptionType		 network.tls.client.supported_ciphers El tipo de cifrado del lado del servidor que se ha usado en el bucket de S3 implicado en la detección.
resource.s3BucketDetails.0.name target.resource.name Nombre del segmento de S3 implicado en la detección.
resource.s3BucketDetails.0.owner.id target.resource.attribute.labels.value El ID del propietario del segmento de S3 implicado en la detección.
resource.s3BucketDetails
.0.publicAccess.effectivePermission		 target.resource.attribute.labels.value El permiso efectivo del bucket de S3 implicado en la detección.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.blockPublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.blockPublicPolicy		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.ignorePublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.accountLevelPermissions.blockPublicAccess
.restrictPublicBuckets		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en la cuenta.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.accessControlList
.allowsPublicReadAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la lista de control de acceso (LCA) permite el acceso de lectura público.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.accessControlList
.allowsPublicWriteAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la lista de control de acceso (LCA) permite el acceso de escritura público.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.blockPublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.blockPublicPolicy		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.ignorePublicAcls		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.blockPublicAccess
.restrictPublicBuckets		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si los bloqueos de acceso público están habilitados en el segmento.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.bucketPolicy
.allowsPublicReadAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la política del segmento permite el acceso de lectura público.
resource.s3BucketDetails
.0.publicAccess.permissionConfiguration
.bucketLevelPermissions.bucketPolicy
.allowsPublicWriteAccess		 event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la política del segmento permite el acceso de escritura público.
resource.s3BucketDetails.0.tags event.idm.read_only_udm
.principal.resource.attribute.labels		 Las etiquetas asociadas al segmento de S3 implicado en el hallazgo.
resource.s3BucketDetails.0.type target.resource.attribute.labels.value El tipo de contenedor de S3 implicado en el resultado.
service.action
.actionType		 principal.group.attribute.labels.value El tipo de acción asociada al resultado.
service.action
.awsApiCallAction.affectedResources
.AWS_CloudTrail_Trail		 event.idm.read_only_udm
.principal.resource.attribute.labels.value		 Nombre del registro de AWS CloudTrail implicado en el resultado.
service.action
.awsApiCallAction.affectedResources
.AWS_S3_Bucket		 event.idm.read_only_udm
.principal.resource.attribute.labels.value		 Nombre del segmento de S3 implicado en la detección.
service.action
.awsApiCallAction.api		 principal.application El nombre de la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.callerType		 principal.group.attribute.labels.value El tipo de llamador que ha realizado la llamada a la API de AWS implicada en el hallazgo.
service.action
.awsApiCallAction.domainDetails.domain		 network.dns.questions.name El nombre de dominio asociado a la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.errorCode		 security_result.rule_type El código de error asociado a la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.country.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.geoLocation.lat		 target.location.region_latitude Latitud de la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.geoLocation.lon		 target.location.region_longitude La longitud de la dirección IP remota que ha realizado la llamada a la API de AWS implicada en el hallazgo.
service.action
.awsApiCallAction.remoteIpDetails
.ipAddressV4		 target.ip La dirección IP que ha realizado la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.organization.asn		 event.idm.read_only_udm
.additional.fields.value.string_value		 El número de sistema autónomo (ASN) de la organización asociada a la dirección IP remota que realizó la llamada a la API de AWS implicada en el hallazgo.
service.action
.awsApiCallAction.remoteIpDetails
.organization.asnOrg		 event.idm.read_only_udm
.additional.fields.value.string_value		 El nombre de la organización asociada a la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.organization.isp		 event.idm.read_only_udm
.additional.fields.value.string_value		 El nombre del proveedor de servicios de Internet (ISP) asociado a la dirección IP remota que realizó la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.remoteIpDetails
.organization.org		 event.idm.read_only_udm
.additional.fields.value.string_value		 El nombre de la organización asociada a la dirección IP remota que ha realizado la llamada a la API de AWS implicada en la detección.
service.action
.awsApiCallAction.serviceName		 metadata.description El nombre del servicio de AWS implicado en la detección.
service.action
.dnsRequestAction.blocked		 security_result.action Indica si se ha bloqueado la solicitud de DNS.
service.action
.dnsRequestAction.domain		 principal.administrative_domain El nombre de dominio asociado a la solicitud de DNS implicada en el hallazgo.
service.action
.dnsRequestAction.protocol		 network.ip_protocol El protocolo utilizado para la solicitud de DNS implicada en el hallazgo.
service.action
.kubernetesApiCallAction.remoteIpDetails
.country.countryName		 target.location.country_or_region El nombre del país asociado a la dirección IP remota que ha realizado la llamada a la API de Kubernetes implicada en la detección.
service.action
.kubernetesApiCallAction.remoteIpDetails
.geoLocation.lat		 target.location.region_latitude Latitud de la dirección IP remota que ha realizado la llamada a la API de Kubernetes implicada en la detección.
service.action
.kubernetesApiCallAction.remoteIpDetails
.geoLocation.lon		 target.location.region_longitude La longitud de la dirección IP remota que ha realizado la llamada a la API de Kubernetes implicada en la detección.
service.action
.kubernetesApiCallAction.remoteIpDetails
.ipAddressV4		 target.ip La dirección IP que hizo la llamada a la API de Kubernetes implicada en la detección.
service.action
.networkConnectionAction.blocked		 security_result.action Si se ha bloqueado la conexión de red.
service.action
.networkConnectionAction.connectionDirection		 network.direction La dirección de la conexión de red implicada en el hallazgo.
service.action
.networkConnectionAction.localIpDetails
.ipAddressV4		 principal.ip La dirección IP local implicada en la conexión de red.
service.action
.networkConnectionAction.localPortDetails
.port		 principal.port El puerto local implicado en la conexión de red.
service.action
.networkConnectionAction.localPortDetails
.portName		 principal.application Nombre del puerto local implicado en la conexión de red.
service.action
.networkConnectionAction.protocol		 network.ip_protocol El protocolo utilizado para la conexión de red implicada en el hallazgo.
service.action
.networkConnectionAction.remoteIpDetails
.city.cityName		 target.location.city Nombre de la ciudad asociada a la dirección IP remota implicada en la conexión de red.
service.action
.networkConnectionAction.remoteIpDetails
.country.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota implicada en la conexión de red.
service.action
.networkConnectionAction.remoteIpDetails
.ipAddressV4		 target.ip La dirección IP remota implicada en la conexión de red.
service.action
.networkConnectionAction.remotePortDetails
.port		 target.port El puerto remoto implicado en la conexión de red.
service.action
.networkConnectionAction.remotePortDetails
.portName		 target.application Nombre del puerto remoto implicado en la conexión de red.
service.action
.portProbeAction.blocked		 security_result.action Indica si se ha bloqueado la comprobación del puerto.
service.action.portProbeAction
.portProbeDetails
.0.localPortDetails.port		 target.port El puerto local que se ha analizado.
service.action.portProbeAction
.portProbeDetails
.0.localPortDetails.portName		 principal.application Nombre del puerto local que se ha analizado.
service.action.portProbeAction
.portProbeDetails
.0.remoteIpDetails.city
.cityName		 target.location.city Nombre de la ciudad asociada a la dirección IP remota que ha realizado la comprobación de puertos.
service.action.portProbeAction
.portProbeDetails
.0.remoteIpDetails.country
.countryName		 target.location.country_or_region Nombre del país asociado a la dirección IP remota que ha realizado la comprobación de puertos.
service.action.portProbeAction
.portProbeDetails
.0.remoteIpDetails.geoLocation
.lat		 target.location.region_latitude La latitud de la dirección IP remota que ha realizado la comprobación de puertos.
service.action.portProbeAction
.portProbeDetails
.0.remoteIpDetails.geoLocation
.lon		 target.location.region_longitude La longitud de la dirección IP remota que ha realizado la comprobación de puertos.
service.action.portProbeAction
.portProbeDetails
.0.remoteIpDetails.ipAddressV4		 target.ip La dirección IP remota que ha realizado la comprobación de puertos.
service.additionalInfo
.portsScannedSample		 event.idm.read_only_udm.about.port Una muestra de los puertos que se han analizado.
service.additionalInfo
.recentCredentials		 event.idm.read_only_udm.intermediary Una lista de las credenciales recientes que se han usado.
service.additionalInfo.sample security_result.about
.labels.value		 Indica si la detección es una detección de muestra.
service.additionalInfo.threatListName security_result.threat_feed_name Nombre de la lista de amenazas que ha activado el hallazgo.
service.additionalInfo.threatName security_result.threat_name Nombre de la amenaza que ha activado el hallazgo.
service.additionalInfo
.userAgent.fullUserAgent		 network.http.user_agent La cadena de user-agent completa asociada al hallazgo.
service.additionalInfo
.userAgent.userAgentCategory		 security_result.detection_fields
.value		 La categoría del user-agent asociado a la detección.
service.additionalInfo.value security_result.about
.resource.attribute.labels.value		 Información adicional sobre el hallazgo.
service.archived event.idm.read_only_udm
.additional.fields.value.bool_value		 Indica si la detección está archivada.
service.count event.idm.read_only_udm
.principal.resource.attribute.labels.value		 El número de veces que se ha producido el evento.
service.detectorId event.idm.read_only_udm
.additional.fields.value.string_value		 ID del detector de GuardDuty que ha generado el resultado.
service.ebsVolumeScanDetails
.scanDetections
.threatDetectedByName.itemCount		 El número total de amenazas detectadas durante el análisis del volumen de EBS.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.