Raccogliere i log di AWS GuardDuty

Questo documento descrive come raccogliere i log di AWS GuardDuty impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione GUARDDUTY.

Prima di iniziare

• Assicurati che sia stato creato un bucket AWS S3. Per creare il bucket AWS S3, consulta Creare il primo bucket S3.
• Assicurati che sia stata creata una chiave KMS. Per creare la chiave KMS, consulta la pagina relativa alla creazione di chiavi KMS asimmetriche.
• Assicurati che AWS GuardDuty abbia l'autorizzazione per accedere alla chiave KMS. Per concedere accesso alla chiave KMS, consulta Esportare i risultati. GuardDuty cripta i dati dei risultati nel tuo bucket utilizzando una chiave AWS KMS.

Configurare AWS GuardDuty

Per configurare AWS GuardDuty, segui questi passaggi:

1. Accedi alla console AWS.
2. Cerca GuardDuty.
3. Seleziona Settings (Impostazioni).

4. Nella sezione Trovare l'opzione di esportazione, segui questi passaggi:

   1. Nell'elenco Frequenza per i risultati aggiornati, seleziona Aggiorna CWE e S3 ogni 15 minuti. La selezione della frequenza riguarda i risultati aggiornati. I nuovi risultati vengono esportati dopo 5 minuti dal momento della creazione.
   2. Nella sezione Bucket S3, seleziona il bucket S3 in cui vuoi esportare i risultati di GuardDuty.
   3. Nella sezione Prefisso file log, fornisci il prefisso del file log.
   4. Nella sezione Crittografia KMS, seleziona la crittografia KMS.
   5. Nell'elenco Alias chiave, seleziona la chiave.
   6. Fai clic su Salva.

5. Dopo aver archiviato i file di log nel bucket S3, crea una coda SQS e agganciala al bucket S3.

Criterio KMS di esempio

Di seguito è riportato un criterio KMS di esempio:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Sostituisci quanto segue:

• AWS_REGION: la regione scelta.
• KEY_ARN: il nome della risorsa Amazon (ARN) della chiave KMS.

Controlla i criteri per le chiavi KMS e gli utenti IAM richiesti per S3, SQS e KMS.

In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:

• Per informazioni su eventuali origini di log, consulta Endpoint e quote di AWS Identity and Access Management.
• Per informazioni sulle origini di log S3, consulta Prezzi e quote di Amazon Simple Storage Service.
• Per informazioni sulle origini di log di SQS, consulta Prezzi e quote di Amazon Simple Queue Service.

Configura un feed in Google Security Operations per importare i log di AWS GuardDuty

1. Seleziona Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo.
3. Inserisci un nome univoco per il nome del feed.
4. Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
5. Seleziona AWS GuardDuty come Tipo di log.
6. Fai clic su Avanti e poi su Invia.
7. Google Security Operations supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo secret. Per creare l'ID chiave di accesso e il segreto, consulta Configurare l'autenticazione dello strumento con AWS.

8. In base alla configurazione di AWS GuardDuty che hai creato, specifica i valori per i seguenti campi.

   1. Se utilizzi Amazon S3
   • Regione
   • URI S3
   • L'URI è un
   • Opzione di eliminazione dell'origine
   2. Se utilizzi Amazon SQS
   • Regione
   • Nome coda
   • Numero account
   • ID chiave di accesso alla coda
   • Mettere in coda la chiave di accesso segreta
   • Opzione di eliminazione dell'origine

9. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo codice del parser elabora i risultati di AWS GuardDuty in formato JSON, estraendo i campi pertinenti e mappandoli a un modello dei dati unificato (UDM). Esegue trasformazioni dei dati, tra cui sostituzioni di stringhe, unione di array e conversione dei tipi di dati, per creare una rappresentazione strutturata dell'evento di sicurezza per analisi e correlazione.

Tabella di mappatura UDM

Modifiche

2024-03-11

• "service.action.awsApiCallAction.domainDetails.domain" è stato mappato a "network.dns.questions.name".

2024-03-05

• "service.additionalInfo.value" è stato mappato a "security_result.about.labels".
• "service.additionalInfo.value" è stato mappato a "security_result.about.resource.attribute.labels".
• È stata mappata la colonna "service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail" a "principal.resource.attribute.labels".

2024-02-26

• Correzione di bug:
• "resource.eksClusterDetails.createdAt" è stato mappato a "target.resource.attribute.labels".
• "resource.s3BucketDetails.createdAt" è stato mappato a "principal.resource.attribute.labels".
• "resource.eksClusterDetails.tags" è stato mappato a "target.resource.attribute.labels".
• "resource.s3BucketDetails.tags" è stato mappato a "principal.resource.attribute.labels".
• Se "type" è simile a ":Kubernetes" o ":S3", mappa "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• Se "service.action.actionType" è simile a "AWS_API_CALL" o "KUBERNETES_API_CALL", mappa "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• Se "service.action.actionType" è simile a "DNS_REQUEST", mappa "resource.instanceDetails.instanceId" a "target.resource.product_object_id".

2023-08-18

• Campi mappati "security_result.attack_details.tactics", "security_result.attack_details.techniques" in base al campo "type".
• Ove possibile, è stato eseguito il mapping di "metadata.event_type" a tipi di eventi più specifici anziché a GENERIC_EVENT.
• Campi mappati "target.resource.resource_subtype", "target.resource.resource_type" in base al campo "type".
• Per tutti i log con il valore "type" pari a ":EC2":
• È stata mappata la risorsa "resource.instanceDetails.instanceId" a "target.resource.product_object_id".
• È stata eseguita la mappatura di "resource.instanceDetails.instanceType" a "target.resource.attribute.labels".
• È stata mappata la risorsa "resource.instanceDetails.launchTime" a "target.resource.attribute.creation_time".
• Per tutti i log con il valore "type" pari a ":RDSV":
• È stato mappato "resource.rdsDbInstanceDetails.dbInstanceIdentifier" a "target.resource.product_object_id".
• È stata mappata la risorsa "resource.rdsDbInstanceDetails.dbInstanceArn" a "target.resource.name".
• È stata mappata la risorsa "resource.rdsDbInstanceDetails.dbClusterIdentifier" a "target.resource_ancestors.product_object_id".
• È stata mappata la risorsa "resource.rdsDbUserDetails.user" a "principal.user.userid".
• Per tutti i log con il valore "type" pari a ":Kubernetes":
• È stata mappata la risorsa "resource.eksClusterDetails.arn" a "target.resource.name".
• Per tutti i log con il valore "type" pari a ":Runtime":
• È stata mappata la risorsa "resource.eksClusterDetails.arn" a "target.resource_ancestors.name".
• È stata mappata la risorsa "resource.instanceDetails.instanceId" a "target.resource.product_object_id".
• È stata eseguita la mappatura di "resource.instanceDetails.instanceType" a "target.resource.attribute.labels".
• È stata mappata la risorsa "resource.instanceDetails.launchTime" a "target.resource.attribute.creation_time".
• Per tutti i log con il valore "type" pari a ":IAMUser":
• È stata mappata la risorsa "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• È stata mappata la risorsa "resource.instanceDetails.instanceId" a "target.resource_ancestors.product_object_id".
• Per tutti i log con il valore "type" pari a ":S3":
• È stato mappato "resource.s3BucketDetails.arn" o "resource.s3BucketDetails.name" a "target.resource.name".

2023-08-02

• Se "resource.instanceDetails.networkInterfaces" è vuoto, mappa "metadata.event_type" a "GENERIC_EVENT".
• Se "detail.resource.accessKeyDetails.principalId" o "resource.accessKeyDetails.principalId" sono vuoti, mappa "metadata.event_type" a "USER_RESOURCE_ACCESS".

2023-06-19

• È stato aggiunto "security_result.attack_details" in base a "type".

2023-02-07

• Miglioramento:
• "threatdetails.threatListName" è stato mappato a "security_result.threat_feed_name".
• "service.additionalInfo.threatName" è stato mappato a "security_result.threat_name".
• Se "product_event_type" in ["Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"] poi mappato "T1071" a "technique_label.value".
• Se "product_event_type" in ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"] poi mappato "T1078" a "technique_label.value".
• Se "product_event_type" è "Discovery:IAMUser/AnomalousBehavior", mappa "T1087" a "technique_label.value".
• Se "product_event_type" è "Persistence:IAMUser/AnomalousBehavior", mappa "T1098" a "technique_label.value".
• Se "product_event_type" in ["UnauthorizedAccess:EC2/RDPBruteForce", "UnauthorizedAccess:EC2/SSHBruteForce"], mappa "T1110" a "technique_label.value".
• Se "product_event_type" in ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"] poi mappato "T1133" a "technique_label.value".
• Se "product_event_type" è "Trojan:EC2/DriveBySourceTraffic!DNS", mappa "T1189" a "technique_label.value".
• Se "product_event_type" è "PrivilegeEscalation:IAMUser/AnomalousBehavior", mappa "T1484" a "technique_label.value".
• Se "product_event_type" in ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"] poi mappato "T1496" a "technique_label.value".
• Se "product_event_type" in ["Backdoor:EC2/DenialOfService.Dns", "Backdoor:EC2/DenialOfService.Tcp", "Backdoor:EC2/DenialOfService.Udp", "Backdoor:EC2/DenialOfService.UdpOnTcpPorts", "Backdoor:EC2/DenialOfService.UnusualProtocol"] poi mappato "T1498" a "technique_label.value".
• Se "product_event_type" in ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"] poi mappato "T1526" a "technique_label.value".
• Se "product_event_type" è "UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B", mappa "T1538" a "technique_label.value".
• Se "product_event_type" è "UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration", mappa "T1552" a "technique_label.value".
• Se "product_event_type" è "CredentialAccess:IAMUser/AnomalousBehavior", mappa "T1555" a "technique_label.value".
• Se "product_event_type" in ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"] poi mappato "T1562" a "technique_label.value".
• Se "product_event_type" in ["Impact:IAMUser/AnomalousBehavior", "Impact:S3/MaliciousIPCaller"], mappa "T1565" a "technique_label.value".
• Se "product_event_type" è "Trojan:EC2/PhishingDomainRequest!DNS", mappa "T1566" a "technique_label.value".
• Se "product_event_type" in ["Exfiltration:IAMUser/AnomalousBehavior", "Exfiltration:S3/MaliciousIPCaller", "Exfiltration:S3/ObjectRead.Unusual", "Trojan:EC2/DNSDataExfiltration", "Trojan:EC2/DropPoint", "Trojan:EC2/DropPoint!DNS"] poi mappato "T1567" a "technique_label.value".
• Se "product_event_type" in ["Trojan:EC2/DGADomainRequest.C!DNS", "Trojan:EC2/DGADomainRequest.B"] poi mappato "T1568" a "technique_label.value".
• Se "product_event_type" == "UnauthorizedAccess:EC2/MetadataDNSRebind", mappa "T1580" a "technique_label".
• Se "product_event_type" in ["Recon:IAMUser/MaliciousIPCaller", "Recon:IAMUser/MaliciousIPCaller.Custom", "Recon:IAMUser/TorIPCaller"] poi mappato "T1589" a "technique_label.value".
• Se "product_event_type" in ["Recon:EC2/PortProbeEMRUnprotectedPort", "Recon:EC2/PortProbeUnprotectedPort", "Recon:EC2/Portscan"] viene mappato "T1595" a "technique_label.value".
• Se [technique_label][value] in ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] viene mappato "Reconnaissance" a "tatic_label.value".
• Se [technique_label][value] in ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"], mappa "ResourceDevelopment" a "tatic_label.value".
• Se [technique_label][value] in ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] poi mappato "InitialAccess" a "tatic_label.value".
• Se [technique_label][value] in ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] viene mappato "Esecuzione" a "tatic_label.value".
• Se [technique_label][value] in ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] poi mappato "Persistenza" a "tatic_label.value".
• Se [technique_label][value] in ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] poi mappato "PrivilegeEscalation" a "tatic_label.value".
• Se [technique_label][value] in ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] poi mappato "DefenseEvasion" a "tatic_label.value".
• Se [technique_label][value] in ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] poi mappato "CredentialAccess" a "tatic_label.value".
• Se [technique_label][value] in ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] poi mappato "Scoperta" a "tatic_label.value".
• Se [technique_label][value] in ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] poi mappato "LateralMovement" a "tatic_label.value".
• Se [technique_label][value] in ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] poi mappa "Raccolta" a "tatic_label.value".
• Se [technique_label][value] in ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] poi mappato "CommandAndControl" a "tatic_label.value".
• Se [technique_label][value] in ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] poi mappato "Esfiltrazione" a "tatic_label.value".
• Se [technique_label][value] in ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] poi mappato "Impatto" a "tatic_label.value".

2022-11-10

• Miglioramento
• È stato mappato "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash" a "principal.file.sha256".
• È stato mappato "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath" a "principal.file.full_path".
• "service.action.dnsRequestAction.domain" è stato mappato a "network.dns.questions.name".
• "resource.kubernetesDetails.kubernetesUserDetails.username" è stato mappato a "principal.user.userid".

2022-09-12

• Richiesta di funzionalità:
• "security_result.category", "metadata.event_type", "resource_type", "resource_subtype" sono stati mappati in modo appropriato per i tipi di log: "IAM", "S3", "KUBERNETES", "MALWARE", "EC2".

2022-08-11

• Richiesta di funzionalità:
• Il tipo di evento "GENERIC_EVENT" è stato sostituito con "STATUS_UPDATE" o "USER_RESOURCE_ACCESS".

2022-07-20

• La mappatura di "service.resourceRole" è stata modificata da "additional.resource_role" a "principal.resource.attribute.roles.name".
• La mappatura di "service.count" è stata modificata da "additional.fields" a "principal.resource.attribute.label"
• Mappatura modificata per "resource.instanceDetails.imageDescription" da "additional.fields" a "principal.resource.attribute.label"
• if "type" value in "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• "resource.instanceDetails.instanceId" è stato mappato a "target.resource.product_object_id"
• "resource.instanceDetails.instanceType" è stato mappato a "target.resource.name"

2022-07-08

• Mappatura modificata per "network_interface.securityGroups.0.groupId" da "target.user.groupid" a "target.user.group_identifiers".

2022-05-26

• Miglioramento: mappature modificate per i seguenti campi
• È stata modificata la mappatura per il campo "regione" da "target.location.country_or_region" a "target.location.name"
• È stata modificata la mappatura per il campo "resource.instanceDetails.tags[n]" da "additional.fields[n]" a "target.asset.attribute.labels[n]"
• "service.action.networkConnectionAction.remoteIpDetails.country.countryName" mappato a "target.location.country_or_region"

2022-05-27

• Miglioramento: il valore memorizzato in metadata.product_name è stato modificato in "AWS GuardDuty" e metadata.vendor_name in "AMAZON".

2022-03-25

• Miglioramento: la porta udm non è un campo ripetuto. Ciò lo rende inadatto per acquisire molte porte da un log. Questa modifica utilizza invece about.port.

2022-03-31

• Miglioramento
• Se service.action.networkConnectionAction.localPortDetails.portName non è il valore "Sconosciuto" mappato a principal.application.
• Elenco completo all'interno del campo "tag" mappato ai campi chiave-valore.
• "service.action.networkConnectionAction.protocol" mappato a network.ip_protocol
• "service.action.networkConnectionAction.blocked" mappato a security_result.action
• "severity" mappato a security_result.severity_details
• Se service.action.actionType è AWS_API_CALL, "accessKeyId" viene mappato a target.resource.id.
• In s3BucketDetails:
• "arn" mappato a target.asset.attribute.cloud.project.product_object_id.
• "name" mappato a target.resource.name.
• "encryptionType" mappato a network.tls.supported_ciphers.
• "owner.id mappato a target.resource.attribute.labels.
• In resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList:
• "allowsPublicReadAccess" è stato mappato all'attributo additional.fields.
• "allowsPublicWriteAccess" è stato mappato all'attributo additional.fields. - --
• In resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy:
• "allowsPublicReadAccess" è stato mappato all'attributo additional.fields.
• "allowsPublicWriteAccess" è stato mappato all'attributo additional.fields. - --
• In resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess:
• "ignorePublicAcls" è stato mappato all'attributo additional.fields.
• "restrictPublicBuckets" è stato mappato all'attributo additional.fields.
• "blockPublicAcls" è stato mappato all'attributo additional.fields.
• "blockPublicPolicy" è stato mappato all'attributo additional.fields. - --
• In resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• ignorePublicAcls è stato mappato all'attributo additional.fields.
• "restrictPublicBuckets" all'attributo additional.fields.
• "blockPublicAcls" all'attributo additional.fields.
• "blockPublicPolicy" all'attributo additional.fields.
• In service.action.awsApiCallAction.remoteIpDetails.organization:
• "asn" mappato all'attributo additional.fields.
• "asnOrg" mappato all'attributo additional.fields.
• "isp" mappato all'attributo additional.fields.
• "org" mappato all'attributo additional.fields.
• In service.action.awsApiCallAction.affectedResources, è stato mappato l'attributo additional.fields "AWS::S3::Bucket".
• Se service.action.actionType è DNS_REQUEST, "accessKeyId" viene mappato a target.resource.id.
• resource.instanceDetails.instanceId mappato a target.resource.id
• resource.instanceDetails.instanceType mappato a target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId mappato a target.asset.attribute.cloud.vpc.id
• I valori in resource.instanceDetails.tags hanno mappato i seguenti campi:
• target.user.userid se la chiave è "ApplicationOwner".
• target.application se la chiave è "Application".
• user.email_addresses se la chiave è "Contatto".
• additional.fields se la chiave è "Name", "DAM_Project", "Project" o "ehc:C3Schedule".
• service.action.dnsRequestAction.protocol mappato a network.ip_protocol se il valore non è 0.
• service.action.networkConnectionAction.blocked mappato a security_result.action.
• "severity" mappato a security_result.severity_details.