Raccogliere i log di AWS GuardDuty
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di AWS GuardDuty configurando un feed Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser
con l'etichetta di importazione GUARDDUTY.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Viene creato il bucket AWS S3. Per creare il bucket AWS S3, consulta Crea il tuo primo bucket S3.
- La chiave KMS viene creata. Per creare la chiave KMS, consulta la pagina Creazione di chiavi KMS asimmetriche.
- AWS GuardDuty ha l'autorizzazione per accedere alla chiave KMS. Per concedere l'accesso alla chiave KMS, consulta Esportazione dei risultati. GuardDuty cripta i dati dei risultati nel bucket utilizzando una chiave AWS KMS.
Configura AWS GuardDuty
Per configurare AWS GuardDuty:
- Accedi alla console AWS.
- Cerca GuardDuty.
- Seleziona Settings (Impostazioni).
Nella sezione Opzione di esportazione dei risultati, segui questi passaggi:
- Nell'elenco Frequenza di aggiornamento dei risultati, seleziona Aggiorna CWE e S3 ogni 15 minuti. La selezione della frequenza riguarda i risultati aggiornati. I nuovi risultati vengono esportati dopo 5 minuti dalla creazione.
- Nella sezione Bucket S3, seleziona il bucket S3 in cui vuoi esportare i risultati di GuardDuty.
- Nella sezione Prefisso file log, fornisci il prefisso del file log.
- Nella sezione Crittografia KMS, seleziona la crittografia KMS.
- Nell'elenco Alias chiave, seleziona la chiave.
- Fai clic su Salva.
Dopo aver archiviato i file di log nel bucket S3, crea una coda SQS e collegala al bucket S3.
Esempio di policy KMS
Di seguito è riportato un esempio di criterio KMS:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
Sostituisci quanto segue:
- AWS_REGION: la regione scelta.
- KEY_ARN: Amazon Resource Name (ARN) della chiave KMS.
Controlla i criteri utente IAM e della chiave KMS richiesti per S3, SQS e KMS.
In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione di AWS:
- Per informazioni su eventuali origini di logging, consulta Endpoint e quote di AWS Identity and Access Management.
- Per informazioni sulle origini di logging S3, consulta Endpoint e quote di Amazon Simple Storage Service.
- Per informazioni sulle origini di logging SQS, consulta Endpoint e quote di Amazon Simple Queue Service.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configura i feed da Impostazioni SIEM > Feed
Per configurare un feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Inserisci un nome univoco per il nome del feed.
- Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
- Seleziona AWS GuardDuty come Tipo di log.
- Fai clic su Avanti e poi su Invia.
- Google Security Operations supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo segreto. Per creare l'ID chiave di accesso e il segreto, consulta la sezione Configurare l'autenticazione dello strumento con AWS.
In base alla configurazione di AWS GuardDuty che hai creato, specifica i valori per i seguenti campi.
- Se utilizzi Amazon S3
- Regione
- URI S3
- L'URI è un
- Opzione di eliminazione dell'origine
- Se utilizzi Amazon SQS
- Regione
- Nome coda
- Numero di conto
- ID chiave di accesso alla coda
- Chiave di accesso segreta della coda
- Opzione di eliminazione dell'origine
Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
Se utilizzi Amazon S3:
- Regione
- URI S3
- L'URI è un
- Opzione di eliminazione dell'origine
Se utilizzi Amazon SQS:
- Regione
- Nome coda
- Numero di conto
- ID chiave di accesso alla coda
- Chiave di accesso segreta della coda
- Opzione di eliminazione dell'origine
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Riferimento alla mappatura dei campi
Questo codice del parser elabora i risultati di AWS GuardDuty in formato JSON, estraendo i campi pertinenti e mappandoli a un modello UDM (Unified Data Model). Esegue trasformazioni dei dati, tra cui sostituzioni di stringhe, unione di array e conversione di tipi di dati, per creare una rappresentazione strutturata dell'evento di sicurezza per l'analisi e la correlazione.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| accountId | principal.group.product_object_id | L'ID account AWS associato al risultato. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | Elenco delle porte analizzate durante una scansione delle porte. |
| additionalInfo.sample | security_result.about.labels.value | Indica se il risultato è un risultato di esempio. |
| additionalInfo.threatListName | security_result.threat_feed_name | Il nome dell'elenco delle minacce che ha attivato il risultato. |
| additionalInfo.threatName | security_result.threat_name | Il nome della minaccia che ha attivato il risultato. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | La stringa completa dello user agent associata al risultato. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | La categoria dello user agent associato al risultato. |
| arn | target.asset.attribute .cloud.project.product_object_id |
L'Amazon Resource Name (ARN) del risultato. |
| detail.accountId | principal.group.product_object_id | L'ID account AWS associato al risultato. |
| detail.description | security_result.description | Una descrizione dettagliata del risultato. |
| detail.id | target.asset.attribute.cloud.project.id | Un ID univoco per il risultato. |
| detail.resource.accessKeyDetails | principal.user | Dettagli sulla chiave di accesso AWS coinvolta nel risultato. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | L'ID della chiave di accesso AWS coinvolta nel risultato. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | L'ID entità della chiave di accesso AWS coinvolta nel risultato. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | Il tipo di utente associato alla chiave di accesso AWS coinvolta nel risultato. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | Il nome dell'utente associato alla chiave di accesso AWS coinvolta nel risultato. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | L'ARN del bucket S3 coinvolto nel risultato. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Il tipo di crittografia lato server utilizzato per il bucket S3 coinvolto nel risultato. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | Il nome del bucket S3 coinvolto nel risultato. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | L'ID del proprietario del bucket S3 coinvolto nel problema. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | L'autorizzazione effettiva del bucket S3 coinvolto nel risultato. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se l'elenco di controllo dell'accesso (ACL) consente l'accesso in lettura pubblico. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se l'elenco di controllo dell'accesso (ACL) consente l'accesso in scrittura pubblico. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se la policy del bucket consente l'accesso in lettura pubblico. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se la policy del bucket consente l'accesso in scrittura pubblico. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | Il tipo di bucket S3 coinvolto nel risultato. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | Il tipo di azione associata al risultato. |
| detail.service.action .awsApiCallAction.api |
principal.application | Il nome della chiamata API AWS coinvolta nel risultato. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Il tipo di chiamante che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Il nome di dominio associato alla chiamata API AWS coinvolta nel risultato. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | La latitudine dell'indirizzo IP remoto che ha effettuato la chiamata all'API AWS coinvolta nel risultato. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | La longitudine dell'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | L'indirizzo IP che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | Il nome del servizio AWS coinvolto nel risultato. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | Se la richiesta DNS è stata bloccata. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | Il nome di dominio associato alla richiesta DNS coinvolta nel risultato. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | Il protocollo utilizzato per la richiesta DNS coinvolta nel risultato. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | Se la connessione di rete è stata bloccata. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | La direzione della connessione di rete coinvolta nel risultato. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | L'indirizzo IP locale coinvolto nella connessione di rete. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | La porta locale coinvolta nella connessione di rete. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Il nome della porta locale coinvolta nella connessione di rete. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | Il protocollo utilizzato per la connessione di rete coinvolta nel risultato. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Il nome della città associata all'indirizzo IP remoto coinvolto nella connessione di rete. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto coinvolto nella connessione di rete. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | L'indirizzo IP remoto coinvolto nella connessione di rete. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | La porta remota coinvolta nella connessione di rete. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Il nome della porta remota coinvolta nella connessione di rete. |
| detail.service.action .portProbeAction.blocked |
security_result.action | Indica se il probe della porta è stato bloccato. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | La porta locale sottoposta a probe. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | Il nome della porta locale sottoposta a probe. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | Il nome della città associata all'indirizzo IP remoto che ha eseguito il test della porta. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto che ha eseguito il probe della porta. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | La latitudine dell'indirizzo IP remoto che ha eseguito il probe della porta. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | La longitudine dell'indirizzo IP remoto che ha eseguito il probe della porta. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | L'indirizzo IP remoto che ha eseguito il probe della porta. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | Il nome dell'elenco delle minacce che ha attivato il risultato. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | Il nome della minaccia che ha attivato il risultato. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | La stringa completa dello user agent associata al risultato. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | La categoria dello user agent associato al risultato. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
Informazioni aggiuntive sul risultato. |
| detail.title | security_result.summary | Un titolo breve per il risultato. |
| detail.type | metadata.product_event_type | Il tipo di risultato. |
| detail.updatedAt | metadata.event_timestamp | L'ora dell'ultimo aggiornamento del risultato. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
Il tipo di evento che ha attivato il risultato. |
| partizione | target.asset.attribute .cloud.project.type |
La partizione AWS in cui si è verificata la scoperta. |
| resource.accessKeyDetails | principal.user | Dettagli sulla chiave di accesso AWS coinvolta nel risultato. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | L'ID della chiave di accesso AWS coinvolta nel risultato. |
| resource.accessKeyDetails.principalId | principal.user.userid | L'ID entità della chiave di accesso AWS coinvolta nel risultato. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | Il tipo di utente associato alla chiave di accesso AWS coinvolta nel risultato. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | Il nome dell'utente associato alla chiave di accesso AWS coinvolta nel risultato. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | La zona di disponibilità dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
La descrizione dell'AMI utilizzata per avviare l'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
L'ID dell'AMI utilizzata per avviare l'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | L'ARN del profilo dell'istanza IAM associato all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | L'ID del profilo dell'istanza IAM associato all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | L'ID dell'istanza EC2 coinvolta nel problema. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | Lo stato dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | Il tipo di istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | L'ora di avvio dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | L'ID dell'interfaccia di rete associata all'istanza EC2 coinvolta nel problema. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | Il nome DNS privato dell'interfaccia di rete associata all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | Il nome DNS pubblico dell'interfaccia di rete associata all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | L'indirizzo IP pubblico dell'interfaccia di rete associata all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | L'indirizzo IP privato dell'interfaccia di rete associata all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | L'ID del gruppo di sicurezza associato all'interfaccia di rete dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | Il nome del gruppo di sicurezza associato all'interfaccia di rete dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | L'ID della subnet associata all'interfaccia di rete dell'istanza EC2 coinvolta nel problema. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | L'ID del VPC associato all'interfaccia di rete dell'istanza EC2 coinvolta nel problema. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | L'ARN dell'outpost associato all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | La piattaforma dell'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | Il tipo di codice prodotto associato all'istanza EC2 coinvolta nel risultato. |
| resource.instanceDetails.tags | target.asset.attribute.labels | I tag associati all'istanza EC2 coinvolta nel risultato. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | Il nome utente dell'utente Kubernetes coinvolto nel problema. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
L'identificatore del cluster di database RDS coinvolto nel problema. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | L'ARN dell'istanza DB di RDS coinvolta nel risultato. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | L'identificatore dell'istanza DB di RDS coinvolta nel risultato. |
| resource.rdsDbUserDetails.user | principal.user.userid | Il nome utente dell'utente del database RDS coinvolto nel problema. |
| resource.resourceType | target.resource.resource_subtype | Il tipo di risorsa coinvolta nel risultato. |
| resource.s3BucketDetails | principal.resource.attribute.labels | Dettagli sul bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0.arn | target.resource.name | L'ARN del bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
L'ora in cui è stato creato il bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | Il tipo di crittografia lato server utilizzato per il bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0.name | target.resource.name | Il nome del bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | L'ID del proprietario del bucket S3 coinvolto nel problema. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | L'autorizzazione effettiva del bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per l'account. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se l'elenco di controllo dell'accesso (ACL) consente l'accesso in lettura pubblico. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se l'elenco di controllo dell'accesso (ACL) consente l'accesso in scrittura pubblico. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se i blocchi dell'accesso pubblico sono attivati per il bucket. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se la policy del bucket consente l'accesso in lettura pubblico. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se la policy del bucket consente l'accesso in scrittura pubblico. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
I tag associati al bucket S3 coinvolto nel risultato. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | Il tipo di bucket S3 coinvolto nel risultato. |
| service.action .actionType |
principal.group.attribute.labels.value | Il tipo di azione associata al risultato. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Il nome del trail AWS CloudTrail coinvolto nel risultato. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
Il nome del bucket S3 coinvolto nel risultato. |
| service.action .awsApiCallAction.api |
principal.application | Il nome della chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | Il tipo di chiamante che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | Il nome di dominio associato alla chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | Il codice di errore associato alla chiamata API AWS coinvolta nel problema. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | La latitudine dell'indirizzo IP remoto che ha effettuato la chiamata all'API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | La longitudine dell'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | L'indirizzo IP che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
Il numero di sistema autonomo (ASN) dell'organizzazione associata all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
Il nome dell'organizzazione associata all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
Il nome del provider di servizi internet (ISP) associato all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
Il nome dell'organizzazione associata all'indirizzo IP remoto che ha effettuato la chiamata API AWS coinvolta nel risultato. |
| service.action .awsApiCallAction.serviceName |
metadata.description | Il nome del servizio AWS coinvolto nel risultato. |
| service.action .dnsRequestAction.blocked |
security_result.action | Se la richiesta DNS è stata bloccata. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | Il nome di dominio associato alla richiesta DNS coinvolta nel risultato. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | Il protocollo utilizzato per la richiesta DNS coinvolta nel risultato. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto che ha effettuato la chiamata API Kubernetes coinvolta nel risultato. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | La latitudine dell'indirizzo IP remoto che ha effettuato la chiamata all'API Kubernetes coinvolta nel risultato. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | La longitudine dell'indirizzo IP remoto che ha effettuato la chiamata all'API Kubernetes coinvolta nel problema. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | L'indirizzo IP che ha effettuato la chiamata all'API Kubernetes coinvolta nel risultato. |
| service.action .networkConnectionAction.blocked |
security_result.action | Se la connessione di rete è stata bloccata. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | La direzione della connessione di rete coinvolta nel risultato. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | L'indirizzo IP locale coinvolto nella connessione di rete. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | La porta locale coinvolta nella connessione di rete. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | Il nome della porta locale coinvolta nella connessione di rete. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | Il protocollo utilizzato per la connessione di rete coinvolta nel risultato. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | Il nome della città associata all'indirizzo IP remoto coinvolto nella connessione di rete. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto coinvolto nella connessione di rete. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | L'indirizzo IP remoto coinvolto nella connessione di rete. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | La porta remota coinvolta nella connessione di rete. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | Il nome della porta remota coinvolta nella connessione di rete. |
| service.action .portProbeAction.blocked |
security_result.action | Indica se il probe della porta è stato bloccato. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | La porta locale sottoposta a probe. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | Il nome della porta locale sottoposta a probe. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | Il nome della città associata all'indirizzo IP remoto che ha eseguito il test della porta. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | Il nome del paese associato all'indirizzo IP remoto che ha eseguito il probe della porta. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | La latitudine dell'indirizzo IP remoto che ha eseguito il probe della porta. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | La longitudine dell'indirizzo IP remoto che ha eseguito il probe della porta. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | L'indirizzo IP remoto che ha eseguito il probe della porta. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | Un campione delle porte scansionate. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | Un elenco delle credenziali recenti utilizzate. |
| service.additionalInfo.sample | security_result.about .labels.value |
Indica se il risultato è un risultato di esempio. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | Il nome dell'elenco delle minacce che ha attivato il risultato. |
| service.additionalInfo.threatName | security_result.threat_name | Il nome della minaccia che ha attivato il risultato. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | La stringa completa dello user agent associata al risultato. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
La categoria dello user agent associato al risultato. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
Informazioni aggiuntive sul risultato. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
Indica se il risultato è archiviato. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
Il numero di volte in cui si è verificato l'evento. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
L'ID del rilevatore GuardDuty che ha generato il risultato. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
Il numero totale di minacce rilevate durante la scansione del volume EBS. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.