Collecter les journaux AWS GuardDuty

Ce document explique comment collecter les journaux AWS GuardDuty en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion GUARDDUTY.

Avant de commencer

• Assurez-vous qu'un bucket AWS S3 est créé. Pour créer le bucket AWS S3, consultez la page Créer votre premier bucket S3.
• Assurez-vous qu'une clé KMS est créée. Pour créer la clé KMS, consultez la section Créer des clés KMS asymétriques.
• Assurez-vous qu'AWS GuardDuty est autorisé à accéder à la clé KMS. Pour accorder l'accès à la clé KMS, consultez Exporter les résultats. GuardDuty chiffre les données des résultats dans votre bucket à l'aide d'une clé AWS KMS.

Configurer AWS GuardDuty

Pour configurer AWS GuardDuty, procédez comme suit:

1. Connectez-vous à la console AWS.
2. Recherchez GuardDuty.
3. Sélectionnez Paramètres.

4. Dans la section Trouver une option d'exportation, procédez comme suit:

   1. Dans la liste Fréquence de mise à jour des résultats, sélectionnez Mettre à jour les CWE et les S3 toutes les 15 minutes. La fréquence sélectionnée s'applique aux résultats mis à jour. Les nouveaux résultats sont exportés cinq minutes après leur création.
   2. Dans la section Bucket S3, sélectionnez le bucket S3 dans lequel vous souhaitez exporter les résultats de GuardDuty.
   3. Dans la section Préfixe du fichier journal, indiquez le préfixe du fichier journal.
   4. Dans la section Chiffrement KMS, sélectionnez le chiffrement KMS.
   5. Dans la liste Alias de clé, sélectionnez la clé.
   6. Cliquez sur Enregistrer.

5. Une fois les fichiers journaux stockés dans le bucket S3, créez une file d'attente SQS et associez-la au bucket S3.

Exemple de règle KMS

Voici un exemple de stratégie KMS:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Remplacez les éléments suivants :

• AWS_REGION: région choisie.
• KEY_ARN: nom de ressource Amazon (ARN) de la clé KMS.

Vérifiez les stratégies de clé IAM et de clé KMS requises pour S3, SQS et KMS.

En fonction du service et de la région, identifiez les points de terminaison de connectivité en vous reportant à la documentation AWS suivante:

• Pour en savoir plus sur les sources de journalisation, consultez Points de terminaison et quotas AWS Identity and Access Management.
• Pour en savoir plus sur les sources de journalisation S3, consultez la section Points de terminaison et quotas Amazon Simple Storage Service.
• Pour en savoir plus sur les sources de journalisation SQS, consultez la section Points de terminaison et quotas Amazon Simple Queue Service.

Configurer un flux dans Google Security Operations pour ingérer les journaux AWS GuardDuty

1. Sélectionnez Paramètres du SIEM > Flux.
2. Cliquez sur Ajouter.
3. Saisissez un nom unique pour le nom du flux.
4. Sélectionnez Amazon S3 ou Amazon SQS comme Type de source.
5. Sélectionnez AWS GuardDuty comme Type de journal.
6. Cliquez sur Suivant, puis sur Envoyer.
7. Google Security Operations prend en charge la collecte de journaux à l'aide d'un ID de clé d'accès et d'une méthode secrète. Pour créer l'ID de clé d'accès et le secret, consultez Configurer l'authentification de l'outil avec AWS.

8. En fonction de la configuration AWS GuardDuty que vous avez créée, spécifiez des valeurs pour les champs suivants.

   1. Si vous utilisez Amazon S3
   • Région
   • URI S3
   • Un URI est un
   • Option de suppression de la source
   2. Si vous utilisez Amazon SQS
   • Région
   • Nom de la file d'attente
   • Numéro de compte
   • ID de clé d'accès de la file d'attente
   • Clé d'accès secrète mise en file d'attente
   • Option de suppression de la source

9. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez la section Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Ce code d'analyseur traite les résultats AWS GuardDuty au format JSON, en extrayant les champs pertinents et en les mappant sur un modèle de données unifié (UDM). Il effectue des transformations de données, y compris des remplacements de chaînes, la fusion de tableaux et la conversion de types de données, afin de créer une représentation structurée de l'événement de sécurité à des fins d'analyse et de corrélation.

Tableau de mappage UDM

Modifications

2024-03-11

• Mappage de "service.action.awsApiCallAction.domainDetails.domain" sur "network.dns.questions.name".

2024-03-05

• "service.additionalInfo.value" a été mappé sur "security_result.about.labels".
• "service.additionalInfo.value" a été mappé sur "security_result.about.resource.attribute.labels".
• Mappage de "service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail" sur "principal.resource.attribute.labels".

2024-02-26

• Correction de bug:
• Mappage de "resource.eksClusterDetails.createdAt" sur "target.resource.attribute.labels".
• Mappage de "resource.s3BucketDetails.createdAt" sur "principal.resource.attribute.labels".
• "resource.eksClusterDetails.tags" a été mappé sur "target.resource.attribute.labels".
• Mappage de "resource.s3BucketDetails.tags" sur "principal.resource.attribute.labels".
• Si "type" est semblable à ":Kubernetes" ou ":S3", mappez "resource.accessKeyDetails.accessKeyId" sur "target.resource.product_object_id".
• Si "service.action.actionType" est semblable à "AWS_API_CALL" ou "KUBERNETES_API_CALL", mappez "resource.accessKeyDetails.accessKeyId" sur "target.resource.product_object_id".
• Si "service.action.actionType" est semblable à "DNS_REQUEST", mappez "resource.instanceDetails.instanceId" sur "target.resource.product_object_id".

2023-08-18

• Champs mappés "security_result.attack_details.tactics", "security_result.attack_details.techniques" en fonction du champ "type".
• Mappage de "metadata.event_type" sur des types d'événements plus spécifiques dans la mesure du possible au lieu de GENERIC_EVENT.
• Champs mappés "target.resource.resource_subtype", "target.resource.resource_type" en fonction du champ "type".
• Pour tous les journaux dont la valeur de type est ":EC2" :
• Mappage de "resource.instanceDetails.instanceId" sur "target.resource.product_object_id".
• Mappage de "resource.instanceDetails.instanceType" sur "target.resource.attribute.labels".
• Mappage de "resource.instanceDetails.launchTime" sur "target.resource.attribute.creation_time".
• Pour tous les journaux dont la valeur de type est ':RDSV' :
• Mappage de "resource.rdsDbInstanceDetails.dbInstanceIdentifier" sur "target.resource.product_object_id".
• Mappage de "resource.rdsDbInstanceDetails.dbInstanceArn" sur "target.resource.name".
• Mappage de "resource.rdsDbInstanceDetails.dbClusterIdentifier" sur "target.resource_ancestors.product_object_id".
• Mappage de "resource.rdsDbUserDetails.user" sur "principal.user.userid".
• Pour tous les journaux dont la valeur de type est ":Kubernetes" :
• Mappage de "resource.eksClusterDetails.arn" sur "target.resource.name".
• Pour tous les journaux dont la valeur de type est ":Runtime" :
• Mappage de "resource.eksClusterDetails.arn" sur "target.resource_ancestors.name".
• Mappage de "resource.instanceDetails.instanceId" sur "target.resource.product_object_id".
• Mappage de "resource.instanceDetails.instanceType" sur "target.resource.attribute.labels".
• Mappage de "resource.instanceDetails.launchTime" sur "target.resource.attribute.creation_time".
• Pour tous les journaux dont la valeur de type est ':IAMUser' :
• Mappage de "resource.accessKeyDetails.accessKeyId" sur "target.resource.product_object_id".
• Mappage de "resource.instanceDetails.instanceId" sur "target.resource_ancestors.product_object_id".
• Pour tous les journaux dont la valeur de type est ":S3" :
• "resource.s3BucketDetails.arn" ou "resource.s3BucketDetails.name" mappé sur "target.resource.name".

2023-08-02

• Si "resource.instanceDetails.networkInterfaces" est vide, la valeur "metadata.event_type" est mappée sur "GENERIC_EVENT".
• Si "detail.resource.accessKeyDetails.principalId" ou "resource.accessKeyDetails.principalId" sont vides, mappez "metadata.event_type" sur "USER_RESOURCE_ACCESS".

2023-06-19

• Ajout de "security_result.attack_details" en fonction de "type".

2023-02-07

• Amélioration :
• Mappage de "threatdetails.threatListName" sur "security_result.threat_feed_name".
• "service.additionalInfo.threatName" a été mappé sur "security_result.threat_name".
• Si "product_event_type" est dans ["Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"], mappez "T1071" sur "technique_label.value".
• Si "product_event_type" est dans ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"], mappez "T1078" sur "technique_label.value".
• Si "product_event_type" est "Discovery:IAMUser/AnomalousBehavior", mappez "T1087" sur "technique_label.value".
• Si "product_event_type" est "Persistence:IAMUser/AnomalousBehavior", mappez "T1098" sur "technique_label.value".
• Si "product_event_type" est dans ["UnauthorizedAccess:EC2/RDPBruteForce", "UnauthorizedAccess:EC2/SSHBruteForce"], mappez "T1110" sur "technique_label.value".
• Si "product_event_type" est dans ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"], mappez "T1133" sur "technique_label.value".
• Si "product_event_type" est "Trojan:EC2/DriveBySourceTraffic!DNS", mappez "T1189" sur "technique_label.value".
• Si "product_event_type" est "PrivilegeEscalation:IAMUser/AnomalousBehavior", mappez "T1484" sur "technique_label.value".
• Si "product_event_type" est dans ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"], mappez "T1496" sur "technique_label.value".
• Si "product_event_type" est dans ["Backdoor:EC2/DenialOfService.Dns", "Backdoor:EC2/DenialOfService.Tcp", "Backdoor:EC2/DenialOfService.Udp", "Backdoor:EC2/DenialOfService.UdpOnTcpPorts", "Backdoor:EC2/DenialOfService.UnusualProtocol"], mappez "T1498" sur "technique_label.value".
• Si "product_event_type" est dans ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"], mappez "T1526" sur "technique_label.value".
• Si "product_event_type" est "UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B", mappez "T1538" sur "technique_label.value".
• Si "product_event_type" est "UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration", mappez "T1552" sur "technique_label.value".
• Si "product_event_type" est "CredentialAccess:IAMUser/AnomalousBehavior", mappez "T1555" sur "technique_label.value".
• Si "product_event_type" est dans ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"], mappez "T1562" sur "technique_label.value".
• Si "product_event_type" est dans ["Impact:IAMUser/AnomalousBehavior", "Impact:S3/MaliciousIPCaller"], mappez "T1565" sur "technique_label.value".
• Si "product_event_type" est "Trojan:EC2/PhishingDomainRequest!DNS", mappez "T1566" sur "technique_label.value".
• Si "product_event_type" est dans ["Exfiltration:IAMUser/AnomalousBehavior", "Exfiltration:S3/MaliciousIPCaller", "Exfiltration:S3/ObjectRead.Unusual", "Trojan:EC2/DNSDataExfiltration", "Trojan:EC2/DropPoint", "Trojan:EC2/DropPoint!DNS"], mappez "T1567" sur "technique_label.value".
• Si "product_event_type" est dans ["Trojan:EC2/DGADomainRequest.C!DNS", "Trojan:EC2/DGADomainRequest.B"], mappez "T1568" sur "technique_label.value".
• Si "product_event_type" == "UnauthorizedAccess:EC2/MetadataDNSRebind", mappez "T1580" sur "technique_label".
• Si "product_event_type" est dans ["Recon:IAMUser/MaliciousIPCaller", "Recon:IAMUser/MaliciousIPCaller.Custom", "Recon:IAMUser/TorIPCaller"], mappez "T1589" sur "technique_label.value".
• Si "product_event_type" est dans ["Recon:EC2/PortProbeEMRUnprotectedPort", "Recon:EC2/PortProbeUnprotectedPort", "Recon:EC2/Portscan"], mappez "T1595" sur "technique_label.value".
• Si [technique_label][value] in ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594] a mappé "Reconnaissance" sur "tatic_label.value".
• Si [technique_label][value] in ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] a mappé "ResourceDevelopment" sur "tatic_label.value".
• Si [technique_label][value] in ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] alors mappé "InitialAccess" à "tatic_label.value".
• Si [technique_label][value] in ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] alors mappé "Exécution" à "tatic_label.value".
• Si [technique_label][value] in ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] alors mappé "Persistance" sur "tatic_label.value".
• Si [technique_label][value] in ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] alors mappé "PrivilegeEscalation" à "tatic_label.value".
• Si [technique_label][value] in ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] alors mappé "DefenseEvasion" sur "tatic_label.value".
• Si [technique_label][value] in ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] alors mappé "CredentialAccess" à "tatic_label.value".
• Si [technique_label][value] in ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] alors mappé "Découverte" à "tatic_label.value".
• Si [technique_label][value] in ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] alors mappé "LateralMovement" à "tatic_label.value".
• Si [technique_label][value] in ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] alors mappé "Collection" à "tatic_label.value".
• Si [technique_label][value] in ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] alors mappé "CommandAndControl" à "tatic_label.value".
• Si [technique_label][value] in ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] alors mappé "Exfiltration" à "tatic_label.value".
• Si [technique_label][value] in ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] alors mappé "Impact" sur "tatic_label.value".

2022-11-10

• Amélioration
• "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash" a été mappé sur "principal.file.sha256".
• "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath" a été mappé sur "principal.file.full_path".
• "service.action.dnsRequestAction.domain" a été mappé sur "network.dns.questions.name".
• Mappage de "resource.kubernetesDetails.kubernetesUserDetails.username" sur "principal.user.userid".

2022-09-12

• Demande de fonctionnalité:
• Mappage de "security_result.category", "metadata.event_type", "resource_type" et "resource_subtype" de manière appropriée pour les types de journaux : "IAM", "S3", "KUBERNETES", "MALWARE" et "EC2".

2022-08-11

• Demande de fonctionnalité:
• Le type d'événement "GENERIC_EVENT" a été remplacé par "STATUS_UPDATE" ou "USER_RESOURCE_ACCESS".

2022-07-20

• Modification du mappage de "service.resourceRole" de "additional.resource_role" à "principal.resource.attribute.roles.name".
• Modification de la mise en correspondance de "service.count" de "additional.fields" à "principal.resource.attribute.label"
• Modification de la mise en correspondance de "resource.instanceDetails.imageDescription" de "additional.fields" à "principal.resource.attribute.label"
• if "type" value in "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• mappé "resource.instanceDetails.instanceId" sur "target.resource.product_object_id"
• mappé "resource.instanceDetails.instanceType" sur "target.resource.name"

2022-07-08

• Modification du mappage de "network_interface.securityGroups.0.groupId" de "target.user.groupid" à "target.user.group_identifiers".

2022-05-26

• Amélioration : mises à jour des mappages pour les champs suivants
• Modification de la mise en correspondance du champ "region" de "target.location.country_or_region" à "target.location.name"
• Modification de la mise en correspondance du champ "resource.instanceDetails.tags[n]" de "additional.fields[n]" à "target.asset.attribute.labels[n]"
• "service.action.networkConnectionAction.remoteIpDetails.country.countryName" mappé sur "target.location.country_or_region"

2022-05-27

• Amélioration : la valeur stockée dans metadata.product_name a été modifiée pour indiquer "AWS GuardDuty" et metadata.vendor_name pour indiquer "AMAZON".

2022-03-25

• Amélioration : le champ "Port udm" n'est pas un champ répété. Il n'est donc pas adapté à la capture de nombreux ports à partir d'un journal. Cette modification utilise instead about.port.

2022-03-31

• Amélioration
• Si la valeur "Inconnu" n'est pas mappée sur principal.application pour service.action.networkConnectionAction.localPortDetails.portName.
• La liste entière du champ "tags" mappée sur des champs clé-valeur.
• "service.action.networkConnectionAction.protocol" mappé sur network.ip_protocol
• "service.action.networkConnectionAction.blocked" mappé sur security_result.action
• "severity" mappé sur security_result.severity_details
• Si service.action.actionType est AWS_API_CALL, "accessKeyId" est mappé sur target.resource.id.
• Dans s3BucketDetails:
• "arn" mappé sur target.asset.attribute.cloud.project.product_object_id.
• "name" mappé sur target.resource.name.
• "encryptionType" mappé sur network.tls.supported_ciphers.
• "owner.id mappé sur target.resource.attribute.labels.
• Sous resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList:
• mappé "allowsPublicReadAccess" à l'attribut additional.fields.
• mappé "allowsPublicWriteAccess" à l'attribut additional.fields. - --
• Sous resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy:
• mappé "allowsPublicReadAccess" à l'attribut additional.fields.
• mappé "allowsPublicWriteAccess" à l'attribut additional.fields. - --
• Sous resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess:
• mappé "ignorePublicAcls" à l'attribut additional.fields.
• mappé "restrictPublicBuckets" à l'attribut additional.fields.
• mappé "blockPublicAcls" à l'attribut additional.fields.
• a mappé "blockPublicPolicy" à l'attribut additional.fields. - --
• Sous resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• mappé ignorePublicAcls à l'attribut additional.fields.
• "restrictPublicBuckets" à l'attribut additional.fields.
• "blockPublicAcls" à l'attribut additional.fields.
• "blockPublicPolicy" à l'attribut additional.fields.
• Sous service.action.awsApiCallAction.remoteIpDetails.organization:
• "asn" mappé sur l'attribut additional.fields.
• "asnOrg" mappé sur l'attribut additional.fields.
• "isp" mappé sur l'attribut additional.fields.
• "org" mappé sur l'attribut additional.fields.
• Sous service.action.awsApiCallAction.affectedResources, mappage de l'attribut additional.fields "AWS::S3::Bucket".
• Si service.action.actionType est DNS_REQUEST, "accessKeyId" est mappé sur target.resource.id.
• resource.instanceDetails.instanceId mappé sur target.resource.id
• resource.instanceDetails.instanceType mappé sur target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId mappé sur target.asset.attribute.cloud.vpc.id
• Les valeurs sous resource.instanceDetails.tags ont mappé les champs suivants:
• target.user.userid si la clé est "ApplicationOwner".
• target.application si la clé est "Application".
• user.email_addresses si la clé est "Contact".
• additional.fields si la clé est "Name", "DAM_Project", "Project" ou "ehc:C3Schedule".
• service.action.dnsRequestAction.protocol mappé network.ip_protocol si la valeur n'est pas égale à 0.
• service.action.networkConnectionAction.blocked mappé sur security_result.action.
• "severity" mappé sur security_result.severity_details.