Recopila registros de AWS GuardDuty
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de AWS GuardDuty configurando un feed de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia GUARDDUTY.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Se creó el bucket de AWS S3. Para crear el bucket de AWS S3, consulta Crea tu primer bucket de S3.
- Se creó la clave de KMS. Para crear la clave de KMS, consulta Crea claves de KMS asimétricas.
- AWS GuardDuty tiene permiso para acceder a la clave de KMS. Para otorgar acceso a la clave de KMS, consulta Cómo exportar hallazgos. GuardDuty encripta los datos de los hallazgos en tu bucket con una clave de KMS de AWS.
Configura AWS GuardDuty
Para configurar AWS GuardDuty, haz lo siguiente:
- Accede a la consola de AWS.
- Busca GuardDuty.
- Selecciona Configuración.
En la sección Opción de exportación de hallazgos, haz lo siguiente:
- En la lista Frecuencia de los hallazgos actualizados, selecciona Actualizar CWE y S3 cada 15 minutos. La selección de frecuencia es para los resultados actualizados. Los nuevos resultados se exportan 5 minutos después de su creación.
- En la sección Bucket de S3, selecciona el bucket de S3 en el que deseas exportar los resultados de GuardDuty.
- En la sección Prefijo del archivo de registro, proporciona el prefijo del archivo de registro.
- En la sección Encriptación de KMS, selecciona la encriptación de KMS.
- En la lista Alias de clave, selecciona la clave.
- Haz clic en Guardar.
Después de que los archivos de registro se almacenen en el bucket de S3, crea una cola de SQS y adjúntala al bucket de S3.
Política de KMS de ejemplo
A continuación, se muestra una política de KMS de ejemplo:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
Reemplaza lo siguiente:
- AWS_REGION: Es la región elegida.
- KEY_ARN: Es el nombre de recurso de Amazon (ARN) de la clave de KMS.
Verifica las políticas de usuario de IAM y de claves de KMS requeridas para S3, SQS y KMS.
Según el servicio y la región, identifica los extremos para la conectividad consultando la siguiente documentación de AWS:
- Para obtener información sobre las fuentes de registro, consulta Cuotas y extremos de AWS Identity and Access Management.
- Para obtener información sobre las fuentes de registro de S3, consulta Cuotas y extremos de Amazon Simple Storage Service.
- Para obtener información sobre las fuentes de registro de SQS, consulta Cuotas y extremos de Amazon Simple Queue Service.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds en Configuración del SIEM > Feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- Ingresa un nombre único para el Nombre del feed.
- Selecciona Amazon S3 o Amazon SQS como el Tipo de fuente.
- Selecciona AWS GuardDuty como el Tipo de registro.
- Haz clic en Siguiente y, luego, en Enviar.
- Google Security Operations admite la recopilación de registros con un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Configura la autenticación de la herramienta con AWS.
Según la configuración de AWS GuardDuty que creaste, especifica valores para los siguientes campos.
- Si usas Amazon S3
- Región
- URI de S3
- El URI es un
- Opción de eliminación de la fuente
- Si usas Amazon SQS
- Región
- Nombre de la fila
- Número de cuenta
- ID de clave de acceso a la cola
- Clave de acceso secreta de la fila
- Opción de eliminación de la fuente
Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
Si usas Amazon S3, haz lo siguiente:
- Región
- URI de S3
- El URI es un
- Opción de eliminación de la fuente
Si usas Amazon SQS, haz lo siguiente:
- Región
- Nombre de la fila
- Número de cuenta
- ID de clave de acceso a la cola
- Clave de acceso secreta de la fila
- Opción de eliminación de la fuente
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Referencia de la asignación de campos
Este código del analizador procesa los hallazgos de AWS GuardDuty en formato JSON, extrae los campos pertinentes y los asigna a un modelo de datos unificado (UDM). Realiza transformaciones de datos, como reemplazos de cadenas, combinación de arrays y conversión de tipos de datos, para crear una representación estructurada del evento de seguridad para su análisis y correlación.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| accountId | principal.group.product_object_id | Es el ID de la cuenta de AWS asociada con el hallazgo. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | Es la lista de puertos analizados durante un análisis de puertos. |
| additionalInfo.sample | security_result.about.labels.value | Indica si el hallazgo es una muestra. |
| additionalInfo.threatListName | security_result.threat_feed_name | Es el nombre de la lista de amenazas que activó el hallazgo. |
| additionalInfo.threatName | security_result.threat_name | Es el nombre de la amenaza que activó el hallazgo. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | Es la cadena de usuario-agente completa asociada con el hallazgo. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | Es la categoría del usuario-agente asociado con el hallazgo. |
| arn | target.asset.attribute .cloud.project.product_object_id |
Es el nombre de recurso de Amazon (ARN) del hallazgo. |
| detail.accountId | principal.group.product_object_id | Es el ID de la cuenta de AWS asociada con el hallazgo. |
| detail.description | security_result.description | Es una descripción detallada del hallazgo. |
| detail.id | target.asset.attribute.cloud.project.id | Es un ID único para el hallazgo. |
| detail.resource.accessKeyDetails | principal.user | Son los detalles sobre la clave de acceso de AWS involucrada en el hallazgo. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | Es el ID de la clave de acceso de AWS involucrada en el hallazgo. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | Es el ID de principal de la clave de acceso de AWS involucrada en el hallazgo. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | Es el tipo de usuario asociado con la clave de acceso de AWS involucrada en el hallazgo. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | Es el nombre del usuario asociado a la clave de acceso de AWS involucrada en el hallazgo. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | Es el ARN del bucket de S3 involucrado en el hallazgo. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Es el tipo de encriptación del servidor que se usa para el bucket de S3 involucrado en el hallazgo. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | Es el nombre del bucket de S3 involucrado en el hallazgo. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | Es el ID del propietario del bucket de S3 involucrado en el hallazgo. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | Es el permiso efectivo del bucket de S3 involucrado en el hallazgo. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la lista de control de acceso (LCA) permite el acceso público de lectura. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la lista de control de acceso (LCA) permite el acceso público de escritura. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la política del bucket permite el acceso público de lectura. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la política del bucket permite el acceso público de escritura. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | Es el tipo de bucket de S3 involucrado en el hallazgo. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | Es el tipo de acción asociado al hallazgo. |
| detail.service.action .awsApiCallAction.api |
principal.application | Es el nombre de la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Es el tipo de entidad que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Es el nombre de dominio asociado con la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | Latitud de la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | Es la longitud de la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | Es la dirección IP que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | Es el nombre del servicio de AWS involucrado en el hallazgo. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | Indica si se bloqueó la solicitud de DNS. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | Es el nombre de dominio asociado con la solicitud de DNS involucrada en el hallazgo. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | Es el protocolo que se usó para la solicitud de DNS involucrada en el hallazgo. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | Indica si se bloqueó la conexión de red. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | Es la dirección de la conexión de red involucrada en el hallazgo. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | Es la dirección IP local involucrada en la conexión de red. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | Es el puerto local involucrado en la conexión de red. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Es el nombre del puerto local involucrado en la conexión de red. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | Es el protocolo que se usa para la conexión de red involucrada en el hallazgo. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Es el nombre de la ciudad asociada a la dirección IP remota involucrada en la conexión de red. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota involucrada en la conexión de red. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | Es la dirección IP remota involucrada en la conexión de red. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | Es el puerto remoto involucrado en la conexión de red. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Es el nombre del puerto remoto involucrado en la conexión de red. |
| detail.service.action .portProbeAction.blocked |
security_result.action | Indica si se bloqueó la sonda de puerto. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | Es el puerto local que se sondeó. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | Es el nombre del puerto local que se sondeó. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | Es el nombre de la ciudad asociada con la dirección IP remota que realizó el sondeo de puertos. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota que realizó el sondeo de puertos. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | Latitud de la dirección IP remota que realizó el sondeo de puertos. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | Es la longitud de la dirección IP remota que realizó el sondeo de puertos. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | Es la dirección IP remota que realizó el sondeo de puertos. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | Es el nombre de la lista de amenazas que activó el hallazgo. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | Es el nombre de la amenaza que activó el hallazgo. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | Es la cadena de usuario-agente completa asociada con el hallazgo. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | Es la categoría del usuario-agente asociado con el hallazgo. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
Es información adicional sobre el hallazgo. |
| detail.title | security_result.summary | Es un título corto para el hallazgo. |
| detail.type | metadata.product_event_type | Es el tipo de hallazgo. |
| detail.updatedAt | metadata.event_timestamp | Fecha y hora en la que se actualizó el hallazgo por última vez. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
Es el tipo de evento que activó el hallazgo. |
| partición | target.asset.attribute .cloud.project.type |
Es la partición de AWS en la que se produjo el hallazgo. |
| resource.accessKeyDetails | principal.user | Son los detalles sobre la clave de acceso de AWS involucrada en el hallazgo. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | Es el ID de la clave de acceso de AWS involucrada en el hallazgo. |
| resource.accessKeyDetails.principalId | principal.user.userid | Es el ID de principal de la clave de acceso de AWS involucrada en el hallazgo. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | Es el tipo de usuario asociado con la clave de acceso de AWS involucrada en el hallazgo. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | Es el nombre del usuario asociado a la clave de acceso de AWS involucrada en el hallazgo. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | Es la zona de disponibilidad de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Es la descripción de la AMI que se usó para iniciar la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
Es el ID de la AMI que se usó para iniciar la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | ARN del perfil de instancia de IAM asociado a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | Es el ID del perfil de instancia de IAM asociado a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | Es el ID de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | Es el estado de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | Es el tipo de instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | Es la fecha y hora en que se inició la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | Es el ID de la interfaz de red asociada a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | Es el nombre de DNS privado de la interfaz de red asociada a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | Es el nombre de DNS público de la interfaz de red asociada a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | Es la dirección IP pública de la interfaz de red asociada a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | Es la dirección IP privada de la interfaz de red asociada a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | Es el ID del grupo de seguridad asociado a la interfaz de red de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | Es el nombre del grupo de seguridad asociado con la interfaz de red de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | Es el ID de la subred asociada a la interfaz de red de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | Es el ID de la VPC asociada a la interfaz de red de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | Es el ARN del puesto avanzado asociado a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | Es la plataforma de la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | Es el tipo de código de producto asociado a la instancia de EC2 involucrada en el hallazgo. |
| resource.instanceDetails.tags | target.asset.attribute.labels | Son las etiquetas asociadas a la instancia de EC2 involucrada en el hallazgo. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | Es el nombre de usuario del usuario de Kubernetes involucrado en el hallazgo. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
Es el identificador del clúster de la base de datos de RDS involucrado en el hallazgo. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | Es el ARN de la instancia de base de datos de RDS involucrada en el hallazgo. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | Es el identificador de la instancia de la base de datos de RDS involucrada en el hallazgo. |
| resource.rdsDbUserDetails.user | principal.user.userid | Es el nombre de usuario del usuario de la base de datos de RDS involucrado en el hallazgo. |
| resource.resourceType | target.resource.resource_subtype | Es el tipo de recurso involucrado en el hallazgo. |
| resource.s3BucketDetails | principal.resource.attribute.labels | Son los detalles sobre el bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0.arn | target.resource.name | Es el ARN del bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Es la fecha y hora en que se creó el bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Es el tipo de encriptación del servidor que se usa para el bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0.name | target.resource.name | Es el nombre del bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | Es el ID del propietario del bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | Es el permiso efectivo del bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para la cuenta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la lista de control de acceso (LCA) permite el acceso público de lectura. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la lista de control de acceso (LCA) permite el acceso público de escritura. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si los bloqueos de acceso público están habilitados para el bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la política del bucket permite el acceso público de lectura. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si la política del bucket permite el acceso público de escritura. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
Son las etiquetas asociadas al bucket de S3 involucrado en el hallazgo. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | Es el tipo de bucket de S3 involucrado en el hallazgo. |
| service.action .actionType |
principal.group.attribute.labels.value | Es el tipo de acción asociado al hallazgo. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Es el nombre del registro de AWS CloudTrail involucrado en el hallazgo. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Es el nombre del bucket de S3 involucrado en el hallazgo. |
| service.action .awsApiCallAction.api |
principal.application | Es el nombre de la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Es el tipo de entidad que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Es el nombre de dominio asociado con la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | Es el código de error asociado con la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | Latitud de la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | Es la longitud de la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | Es la dirección IP que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
Es el número de sistema autónomo (ASN) de la organización asociada a la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
Es el nombre de la organización asociada con la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
Es el nombre del proveedor de servicios de Internet (ISP) asociado a la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
Es el nombre de la organización asociada con la dirección IP remota que realizó la llamada a la API de AWS involucrada en el hallazgo. |
| service.action .awsApiCallAction.serviceName |
metadata.description | Es el nombre del servicio de AWS involucrado en el hallazgo. |
| service.action .dnsRequestAction.blocked |
security_result.action | Indica si se bloqueó la solicitud de DNS. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | Es el nombre de dominio asociado con la solicitud de DNS involucrada en el hallazgo. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | Es el protocolo que se usó para la solicitud de DNS involucrada en el hallazgo. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota que realizó la llamada a la API de Kubernetes involucrada en el hallazgo. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | Latitud de la dirección IP remota que realizó la llamada a la API de Kubernetes involucrada en el hallazgo. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | Longitud de la dirección IP remota que realizó la llamada a la API de Kubernetes involucrada en el hallazgo. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | Es la dirección IP que realizó la llamada a la API de Kubernetes involucrada en el hallazgo. |
| service.action .networkConnectionAction.blocked |
security_result.action | Indica si se bloqueó la conexión de red. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | Es la dirección de la conexión de red involucrada en el hallazgo. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | Es la dirección IP local involucrada en la conexión de red. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | Es el puerto local involucrado en la conexión de red. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Es el nombre del puerto local involucrado en la conexión de red. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | Es el protocolo que se usa para la conexión de red involucrada en el hallazgo. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Es el nombre de la ciudad asociada a la dirección IP remota involucrada en la conexión de red. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota involucrada en la conexión de red. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | Es la dirección IP remota involucrada en la conexión de red. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | Es el puerto remoto involucrado en la conexión de red. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Es el nombre del puerto remoto involucrado en la conexión de red. |
| service.action .portProbeAction.blocked |
security_result.action | Indica si se bloqueó la sonda de puerto. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | Es el puerto local que se sondeó. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | Es el nombre del puerto local que se sondeó. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | Es el nombre de la ciudad asociada con la dirección IP remota que realizó el sondeo de puertos. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | Es el nombre del país asociado a la dirección IP remota que realizó el sondeo de puertos. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | Latitud de la dirección IP remota que realizó el sondeo de puertos. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | Es la longitud de la dirección IP remota que realizó el sondeo de puertos. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | Es la dirección IP remota que realizó el sondeo de puertos. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | Es una muestra de los puertos que se analizaron. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | Es una lista de las credenciales recientes que se usaron. |
| service.additionalInfo.sample | security_result.about .labels.value |
Indica si el hallazgo es una muestra. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | Es el nombre de la lista de amenazas que activó el hallazgo. |
| service.additionalInfo.threatName | security_result.threat_name | Es el nombre de la amenaza que activó el hallazgo. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | Es la cadena de usuario-agente completa asociada con el hallazgo. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
Es la categoría del usuario-agente asociado con el hallazgo. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
Es información adicional sobre el hallazgo. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
Indica si el hallazgo está archivado. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Es la cantidad de veces que ocurrió el evento. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
Es el ID del detector de GuardDuty que generó el hallazgo. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
Es la cantidad total de amenazas detectadas durante el análisis del volumen de EBS. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.