Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AWS GuardDuty

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log AWS GuardDuty dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan GUARDDUTY.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Bucket AWS S3 dibuat. Untuk membuat bucket AWS S3, lihat Membuat bucket S3 pertama Anda.
Kunci KMS dibuat. Untuk membuat kunci KMS, lihat Membuat kunci KMS asimetris.
AWS GuardDuty memiliki izin untuk mengakses kunci KMS. Untuk memberikan akses ke kunci KMS, lihat Mengekspor temuan. GuardDuty mengenkripsi data temuan di bucket Anda menggunakan kunci AWS KMS.

Mengonfigurasi AWS GuardDuty

Untuk mengonfigurasi AWS GuardDuty, lakukan hal berikut:

Login ke konsol AWS.
Telusuri GuardDuty.
Pilih Setelan.
Di bagian Menemukan opsi ekspor, lakukan tindakan berikut:
1. Dari daftar Frekuensi untuk temuan yang diperbarui, pilih Perbarui CWE dan S3 setiap 15 menit. Pilihan frekuensi adalah untuk temuan yang diperbarui. Temuan baru diekspor setelah 5 menit sejak waktu pembuatan.
2. Di bagian Bucket S3, pilih bucket S3 tempat Anda ingin mengekspor temuan GuardDuty.
3. Di bagian Awalan file log, berikan awalan file log.
4. Di bagian KMS encryption, pilih enkripsi KMS.
5. Dari daftar Alias kunci, pilih kunci.
6. Klik Simpan.
Setelah file log disimpan di bucket S3, buat antrean SQS dan lampirkan dengan bucket S3.

Contoh kebijakan KMS

Berikut adalah contoh kebijakan KMS:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Ganti kode berikut:

AWS_REGION: region yang dipilih.
KEY_ARN: Amazon Resource Name (ARN) kunci KMS.

Periksa kebijakan pengguna IAM dan kunci KMS yang diperlukan untuk S3, SQS, dan KMS.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan melihat dokumentasi AWS berikut:

Untuk mengetahui informasi tentang sumber logging, lihat Endpoint dan kuota AWS Identity and Access Management.
Untuk mengetahui informasi tentang sumber logging S3, lihat Endpoint dan kuota Amazon Simple Storage Service.
Untuk mengetahui informasi tentang sumber logging SQS, lihat Endpoint dan kuota Amazon Simple Queue Service.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Masukkan nama unik untuk Nama feed.
Pilih Amazon S3 atau Amazon SQS sebagai Source type.
Pilih AWS GuardDuty sebagai Jenis log.
Klik Berikutnya, lalu klik Kirim.
Google Security Operations mendukung pengumpulan log menggunakan metode ID kunci akses dan rahasia. Untuk membuat ID kunci akses dan kunci rahasia, lihat Mengonfigurasi autentikasi alat dengan AWS.
Berdasarkan konfigurasi AWS GuardDuty yang Anda buat, tentukan nilai untuk kolom berikut.
1. Jika menggunakan Amazon S3
2. Jika menggunakan Amazon SQS
Klik Berikutnya, lalu klik Kirim.

Untuk mengetahui informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Operasi Keamanan Google

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Jika menggunakan Amazon S3:
- Region
- URI S3
- URI adalah
- Opsi penghapusan sumber
Jika menggunakan Amazon SQS:
- Region
- Nama antrean
- Nomor rekening
- ID kunci akses antrean
- Kunci akses rahasia antrean
- Opsi penghapusan sumber

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Referensi pemetaan kolom

Kode parser ini memproses temuan AWS GuardDuty dalam format JSON, mengekstrak kolom yang relevan, dan memetakannya ke model data terpadu (UDM). Proses ini melakukan transformasi data, termasuk penggantian string, penggabungan array, dan konversi jenis data, untuk membuat representasi terstruktur dari peristiwa keamanan untuk analisis dan korelasi.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
accountId	principal.group.product_object_id	ID akun AWS yang terkait dengan temuan.
additionalInfo.portsScannedSample	event.idm.read_only_udm.about.port	Daftar port yang dipindai selama pemindaian port.
additionalInfo.sample	security_result.about.labels.value	Menunjukkan apakah temuan merupakan temuan contoh.
additionalInfo.threatListName	security_result.threat_feed_name	Nama daftar ancaman yang memicu temuan.
additionalInfo.threatName	security_result.threat_name	Nama ancaman yang memicu temuan.
additionalInfo.userAgent .fullUserAgent	network.http.user_agent	String agen pengguna lengkap yang terkait dengan temuan.
additionalInfo.userAgent .userAgentCategory	security_result.detection_fields.value	Kategori agen pengguna yang terkait dengan temuan.
arn	target.asset.attribute .cloud.project.product_object_id	Amazon Resource Name (ARN) temuan.
detail.accountId	principal.group.product_object_id	ID akun AWS yang terkait dengan temuan.
detail.description	security_result.description	Deskripsi mendetail tentang temuan.
detail.id	target.asset.attribute.cloud.project.id	ID unik untuk temuan.
detail.resource.accessKeyDetails	principal.user	Detail tentang kunci akses AWS yang terlibat dalam temuan.
detail.resource.accessKeyDetails .accessKeyId	principal.user.userid	ID kunci akses AWS yang terlibat dalam temuan.
detail.resource.accessKeyDetails .principalId	principal.user.userid	ID prinsipal kunci akses AWS yang terlibat dalam temuan.
detail.resource.accessKeyDetails .userType	principal.user.attribute.roles.name	Jenis pengguna yang terkait dengan kunci akses AWS yang terlibat dalam temuan.
detail.resource.accessKeyDetails .userName	principal.user.user_display_name	Nama pengguna yang terkait dengan kunci akses AWS yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.arn	target.resource.name	ARN bucket S3 yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType	network.tls.client.supported_ciphers	Jenis enkripsi sisi server yang digunakan untuk bucket S3 yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.name	target.resource.name	Nama bucket S3 yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.owner.id	target.resource.attribute.labels.value	ID pemilik bucket S3 yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.publicAccess.effectivePermission	target.resource.attribute.labels.value	Izin efektif bucket S3 yang terlibat dalam temuan.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah daftar kontrol akses (ACL) mengizinkan akses baca publik.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah daftar kontrol akses (ACL) mengizinkan akses tulis publik.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah kebijakan bucket mengizinkan akses baca publik.
detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah kebijakan bucket mengizinkan akses tulis publik.
detail.resource.s3BucketDetails .0.type	target.resource.attribute.labels.value	Jenis bucket S3 yang terlibat dalam temuan.
detail.service.action .actionType	principal.group.attribute.labels.value	Jenis tindakan yang terkait dengan temuan.
detail.service.action .awsApiCallAction.api	principal.application	Nama panggilan AWS API yang terlibat dalam temuan.
detail.service.action .awsApiCallAction.callerType	principal.group.attribute.labels.value	Jenis pemanggil yang melakukan panggilan AWS API yang terlibat dalam temuan.
detail.service.action .awsApiCallAction.domainDetails.domain	network.dns.questions.name	Nama domain yang terkait dengan panggilan AWS API yang terlibat dalam temuan.
detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat	target.location.region_latitude	Garis lintang alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon	target.location.region_longitude	Bujur alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4	target.ip	Alamat IP yang melakukan panggilan AWS API yang terlibat dalam temuan.
detail.service.action .awsApiCallAction.serviceName	metadata.description	Nama layanan AWS yang terlibat dalam temuan.
detail.service.action .dnsRequestAction.blocked	security_result.action	Apakah permintaan DNS diblokir.
detail.service.action .dnsRequestAction.domain	principal.administrative_domain	Nama domain yang terkait dengan permintaan DNS yang terlibat dalam temuan.
detail.service.action .dnsRequestAction.protocol	network.ip_protocol	Protokol yang digunakan untuk permintaan DNS yang terlibat dalam temuan.
detail.service.action .networkConnectionAction.blocked	security_result.action	Apakah koneksi jaringan diblokir.
detail.service.action .networkConnectionAction.connectionDirection	network.direction	Arah koneksi jaringan yang terlibat dalam temuan.
detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4	principal.ip	Alamat IP lokal yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.localPortDetails .port	principal.port	Port lokal yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.localPortDetails .portName	principal.application	Nama port lokal yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.protocol	network.ip_protocol	Protokol yang digunakan untuk koneksi jaringan yang terlibat dalam temuan.
detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName	target.location.city	Nama kota yang terkait dengan alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4	target.ip	Alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.remotePortDetails .port	target.port	Port jarak jauh yang terlibat dalam koneksi jaringan.
detail.service.action .networkConnectionAction.remotePortDetails .portName	target.application	Nama port jarak jauh yang terlibat dalam koneksi jaringan.
detail.service.action .portProbeAction.blocked	security_result.action	Apakah pemeriksaan port diblokir.
detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port	target.port	Port lokal yang diperiksa.
detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName	principal.application	Nama port lokal yang diselidiki.
detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName	target.location.city	Nama kota yang terkait dengan alamat IP jarak jauh yang melakukan pemeriksaan port.
detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang melakukan pemeriksaan port.
detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat	target.location.region_latitude	Lintang alamat IP jarak jauh yang melakukan pemeriksaan port.
detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon	target.location.region_longitude	Bujur alamat IP jarak jauh yang melakukan pemeriksaan port.
detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4	target.ip	Alamat IP jarak jauh yang melakukan pemeriksaan port.
detail.service.additionalInfo .threatListName	security_result.threat_feed_name	Nama daftar ancaman yang memicu temuan.
detail.service.additionalInfo .threatName	security_result.threat_name	Nama ancaman yang memicu temuan.
detail.service.additionalInfo .userAgent.fullUserAgent	network.http.user_agent	String agen pengguna lengkap yang terkait dengan temuan.
detail.service.additionalInfo .userAgent.userAgentCategory	security_result.detection_fields.value	Kategori agen pengguna yang terkait dengan temuan.
detail.service.additionalInfo .value	security_result.about .resource.attribute.labels.value	Informasi tambahan tentang temuan.
detail.title	security_result.summary	Judul singkat untuk temuan.
detail.type	metadata.product_event_type	Jenis temuan.
detail.updatedAt	metadata.event_timestamp	Waktu temuan terakhir diperbarui.
detail-type	event.idm.read_only_udm .additional.fields.value.string_value	Jenis peristiwa yang memicu temuan.
partisi	target.asset.attribute .cloud.project.type	Partisi AWS tempat temuan terjadi.
resource.accessKeyDetails	principal.user	Detail tentang kunci akses AWS yang terlibat dalam temuan.
resource.accessKeyDetails.accessKeyId	principal.user.userid	ID kunci akses AWS yang terlibat dalam temuan.
resource.accessKeyDetails.principalId	principal.user.userid	ID prinsipal kunci akses AWS yang terlibat dalam temuan.
resource.accessKeyDetails.userType	principal.user.attribute.roles.name	Jenis pengguna yang terkait dengan kunci akses AWS yang terlibat dalam temuan.
resource.accessKeyDetails.userName	principal.user.user_display_name	Nama pengguna yang terkait dengan kunci akses AWS yang terlibat dalam temuan.
resource.instanceDetails.availabilityZone	target.asset.attribute.cloud.availability_zone	Zona ketersediaan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.imageDescription	event.idm.read_only_udm .principal.resource.attribute.labels.value	Deskripsi AMI yang digunakan untuk meluncurkan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.imageId	event.idm.read_only_udm .additional.fields.value.string_value	ID AMI yang digunakan untuk meluncurkan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .iamInstanceProfile.arn	target.resource.attribute.labels.value	ARN profil instance IAM yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .iamInstanceProfile.id	target.resource.attribute.labels.value	ID profil instance IAM yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.instanceId	target.resource.product_object_id	ID instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.instanceState	target.resource.attribute.labels.value	Status instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.instanceType	target.resource.attribute.labels.value	Jenis instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .launchTime	target.resource.attribute.creation_time	Waktu instance EC2 yang terlibat dalam temuan diluncurkan.
resource.instanceDetails .networkInterfaces.0.networkInterfaceId	target.resource.attribute.labels.value	ID antarmuka jaringan yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.privateDnsName	target.resource.attribute.labels.value	Nama DNS pribadi antarmuka jaringan yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.publicDnsName	target.resource.attribute.labels.value	Nama DNS publik antarmuka jaringan yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.publicIp	principal.ip	Alamat IP publik antarmuka jaringan yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.privateIpAddress	principal.ip	Alamat IP pribadi antarmuka jaringan yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId	target.user.group_identifiers	ID grup keamanan yang terkait dengan antarmuka jaringan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName	target.user.group_identifiers	Nama grup keamanan yang terkait dengan antarmuka jaringan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.subnetId	target.resource.attribute.labels.value	ID subnet yang terkait dengan antarmuka jaringan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .networkInterfaces.0.vpcId	target.asset.attribute.cloud.vpc.id	ID VPC yang terkait dengan antarmuka jaringan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.outpostArn	target.resource.attribute.labels.value	ARN outpost yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.platform	target.asset.platform_software.platform_version	Platform instance EC2 yang terlibat dalam temuan.
resource.instanceDetails .productCodes.0.productCodeType	target.resource.type	Jenis kode produk yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.instanceDetails.tags	target.asset.attribute.labels	Tag yang terkait dengan instance EC2 yang terlibat dalam temuan.
resource.kubernetesDetails .kubernetesUserDetails.username	principal.user.userid	Nama pengguna Kubernetes yang terlibat dalam temuan.
resource.rdsDbInstanceDetails .dbClusterIdentifier	event.idm.read_only_udm .target.resource_ancestors.product_object_id	ID cluster DB RDS yang terlibat dalam temuan.
resource.rdsDbInstanceDetails .dbInstanceArn	target.resource.name	ARN instance DB RDS yang terlibat dalam temuan.
resource.rdsDbInstanceDetails .dbInstanceIdentifier	target.resource.product_object_id	ID instance DB RDS yang terlibat dalam temuan.
resource.rdsDbUserDetails.user	principal.user.userid	Nama pengguna DB RDS yang terlibat dalam temuan.
resource.resourceType	target.resource.resource_subtype	Jenis resource yang terlibat dalam temuan.
resource.s3BucketDetails	principal.resource.attribute.labels	Detail tentang bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0.arn	target.resource.name	ARN bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0.createdAt	event.idm.read_only_udm .principal.resource.attribute.labels.value	Waktu pembuatan bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType	network.tls.client.supported_ciphers	Jenis enkripsi sisi server yang digunakan untuk bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0.name	target.resource.name	Nama bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0.owner.id	target.resource.attribute.labels.value	ID pemilik bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails .0.publicAccess.effectivePermission	target.resource.attribute.labels.value	Izin efektif bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk akun.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah daftar kontrol akses (ACL) mengizinkan akses baca publik.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah daftar kontrol akses (ACL) mengizinkan akses tulis publik.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah pemblokiran akses publik diaktifkan untuk bucket.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah kebijakan bucket mengizinkan akses baca publik.
resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah kebijakan bucket mengizinkan akses tulis publik.
resource.s3BucketDetails.0.tags	event.idm.read_only_udm .principal.resource.attribute.labels	Tag yang terkait dengan bucket S3 yang terlibat dalam temuan.
resource.s3BucketDetails.0.type	target.resource.attribute.labels.value	Jenis bucket S3 yang terlibat dalam temuan.
service.action .actionType	principal.group.attribute.labels.value	Jenis tindakan yang terkait dengan temuan.
service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail	event.idm.read_only_udm .principal.resource.attribute.labels.value	Nama jejak AWS CloudTrail yang terlibat dalam temuan.
service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket	event.idm.read_only_udm .principal.resource.attribute.labels.value	Nama bucket S3 yang terlibat dalam temuan.
service.action .awsApiCallAction.api	principal.application	Nama panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.callerType	principal.group.attribute.labels.value	Jenis pemanggil yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.domainDetails.domain	network.dns.questions.name	Nama domain yang terkait dengan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.errorCode	security_result.rule_type	Kode error yang terkait dengan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat	target.location.region_latitude	Garis lintang alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon	target.location.region_longitude	Bujur alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .ipAddressV4	target.ip	Alamat IP yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .organization.asn	event.idm.read_only_udm .additional.fields.value.string_value	Nomor Sistem Otonom (ASN) organisasi yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg	event.idm.read_only_udm .additional.fields.value.string_value	Nama organisasi yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .organization.isp	event.idm.read_only_udm .additional.fields.value.string_value	Nama penyedia layanan internet (ISP) yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.remoteIpDetails .organization.org	event.idm.read_only_udm .additional.fields.value.string_value	Nama organisasi yang terkait dengan alamat IP jarak jauh yang melakukan panggilan AWS API yang terlibat dalam temuan.
service.action .awsApiCallAction.serviceName	metadata.description	Nama layanan AWS yang terlibat dalam temuan.
service.action .dnsRequestAction.blocked	security_result.action	Apakah permintaan DNS diblokir.
service.action .dnsRequestAction.domain	principal.administrative_domain	Nama domain yang terkait dengan permintaan DNS yang terlibat dalam temuan.
service.action .dnsRequestAction.protocol	network.ip_protocol	Protokol yang digunakan untuk permintaan DNS yang terlibat dalam temuan.
service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang melakukan panggilan Kubernetes API yang terlibat dalam temuan.
service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat	target.location.region_latitude	Garis lintang alamat IP jarak jauh yang melakukan panggilan Kubernetes API yang terlibat dalam temuan.
service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon	target.location.region_longitude	Bujur alamat IP jarak jauh yang melakukan panggilan Kubernetes API yang terlibat dalam temuan.
service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4	target.ip	Alamat IP yang melakukan panggilan Kubernetes API yang terlibat dalam temuan.
service.action .networkConnectionAction.blocked	security_result.action	Apakah koneksi jaringan diblokir.
service.action .networkConnectionAction.connectionDirection	network.direction	Arah koneksi jaringan yang terlibat dalam temuan.
service.action .networkConnectionAction.localIpDetails .ipAddressV4	principal.ip	Alamat IP lokal yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.localPortDetails .port	principal.port	Port lokal yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.localPortDetails .portName	principal.application	Nama port lokal yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.protocol	network.ip_protocol	Protokol yang digunakan untuk koneksi jaringan yang terlibat dalam temuan.
service.action .networkConnectionAction.remoteIpDetails .city.cityName	target.location.city	Nama kota yang terkait dengan alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.remoteIpDetails .country.countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.remoteIpDetails .ipAddressV4	target.ip	Alamat IP jarak jauh yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.remotePortDetails .port	target.port	Port jarak jauh yang terlibat dalam koneksi jaringan.
service.action .networkConnectionAction.remotePortDetails .portName	target.application	Nama port jarak jauh yang terlibat dalam koneksi jaringan.
service.action .portProbeAction.blocked	security_result.action	Apakah pemeriksaan port diblokir.
service.action.portProbeAction .portProbeDetails .0.localPortDetails.port	target.port	Port lokal yang diperiksa.
service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName	principal.application	Nama port lokal yang diselidiki.
service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName	target.location.city	Nama kota yang terkait dengan alamat IP jarak jauh yang melakukan pemeriksaan port.
service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName	target.location.country_or_region	Nama negara yang terkait dengan alamat IP jarak jauh yang melakukan pemeriksaan port.
service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat	target.location.region_latitude	Lintang alamat IP jarak jauh yang melakukan pemeriksaan port.
service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon	target.location.region_longitude	Bujur alamat IP jarak jauh yang melakukan pemeriksaan port.
service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4	target.ip	Alamat IP jarak jauh yang melakukan pemeriksaan port.
service.additionalInfo .portsScannedSample	event.idm.read_only_udm.about.port	Contoh port yang dipindai.
service.additionalInfo .recentCredentials	event.idm.read_only_udm.intermediary	Daftar kredensial terbaru yang digunakan.
service.additionalInfo.sample	security_result.about .labels.value	Menunjukkan apakah temuan merupakan temuan contoh.
service.additionalInfo.threatListName	security_result.threat_feed_name	Nama daftar ancaman yang memicu temuan.
service.additionalInfo.threatName	security_result.threat_name	Nama ancaman yang memicu temuan.
service.additionalInfo .userAgent.fullUserAgent	network.http.user_agent	String agen pengguna lengkap yang terkait dengan temuan.
service.additionalInfo .userAgent.userAgentCategory	security_result.detection_fields .value	Kategori agen pengguna yang terkait dengan temuan.
service.additionalInfo.value	security_result.about .resource.attribute.labels.value	Informasi tambahan tentang temuan.
service.archived	event.idm.read_only_udm .additional.fields.value.bool_value	Apakah temuan diarsipkan.
service.count	event.idm.read_only_udm .principal.resource.attribute.labels.value	Frekuensi terjadinya peristiwa.
service.detectorId	event.idm.read_only_udm .additional.fields.value.string_value	ID detektor GuardDuty yang menghasilkan temuan.
service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount		Jumlah total ancaman yang terdeteksi selama pemindaian volume EBS.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.