AWS GuardDuty ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して AWS GuardDuty ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル GUARDDUTY が付加されたパーサーに適用されます。
始める前に
次の前提条件を満たしていることを確認します。
- AWS S3 バケットが作成されます。AWS S3 バケットを作成するには、最初の S3 バケットを作成するをご覧ください。
- KMS 鍵が作成されます。KMS 鍵を作成するには、非対称 KMS 鍵を作成するをご覧ください。
- AWS GuardDuty に KMS 鍵へのアクセス権が付与されている。KMS 鍵へのアクセス権を付与するには、検出結果をエクスポートするをご覧ください。GuardDuty は、AWS KMS 鍵を使用してバケット内の検出結果データを暗号化します。
AWS GuardDuty を構成する
AWS GuardDuty を構成する手順は次のとおりです。
- AWS コンソールにログインします。
- 「GuardDuty」を検索します。
- [設定] を選択します。
[検索結果のエクスポート オプション] セクションで、次の操作を行います。
- [Frequency for updated findings] リストから、[Update CWE and S3 every 15 minutes] を選択します。頻度の選択は、更新された結果に対して行われます。新しい検出結果は、作成時刻から 5 分後にエクスポートされます。
- [S3 bucket] セクションで、GuardDuty の検出結果をエクスポートする S3 バケットを選択します。
- [Log file prefix] セクションで、ログファイルの接頭辞を指定します。
- [KMS encryption] セクションで、KMS 暗号化を選択します。
- [Key alias] リストから鍵を選択します。
- [Save] をクリックします。
ログファイルが S3 バケットに保存されたら、SQS キューを作成して S3 バケットに関連付けます。
KMS ポリシーの例
KMS ポリシーの例を次に示します。
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
以下を置き換えます。
- AWS_REGION: 選択したリージョン。
- KEY_ARN: KMS 鍵の Amazon Resource Name(ARN)。
S3、SQS、KMS に必要な IAM ユーザーと KMS 鍵ポリシーを確認します。
サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。
- ロギングソースの詳細については、AWS Identity and Access Management エンドポイントとクォータをご覧ください。
- S3 ロギング ソースの詳細については、Amazon Simple Storage Service エンドポイントとクォータをご覧ください。
- SQS ロギング ソースの詳細については、Amazon Simple Queue Service エンドポイントとクォータをご覧ください。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [Feed name] に一意の名前を入力します。
- [Source type] として [Amazon S3] または [Amazon SQS] を選択します。
- [Log type] として [AWS GuardDuty] を選択します。
- [次へ] をクリックしてから、[送信] をクリックします。
- Google Security Operations は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
作成した AWS GuardDuty 構成に基づいて、次のフィールドの値を指定します。
- Amazon S3 を使用している場合
- リージョン
- S3 URI
- URI は
- ソース削除オプション
- Amazon SQS を使用している場合
- リージョン
- キュー名
- 口座番号
- Queue access key ID
- Queue secret access key
- ソース削除オプション
[次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
Amazon S3 を使用している場合:
- リージョン
- S3 URI
- URI は
- ソース削除オプション
Amazon SQS を使用している場合:
- リージョン
- キュー名
- 口座番号
- Queue access key ID
- Queue secret access key
- ソース削除オプション
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の AWS GuardDuty の結果を処理し、関連するフィールドを抽出して統合データモデル(UDM)にマッピングします。文字列の置換、配列の統合、データ型の変換などのデータ変換を実行し、分析と関連付けを行うためのセキュリティ イベントの構造化された表現を作成します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| accountId | principal.group.product_object_id | 検出結果に関連付けられている AWS アカウント ID。 |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | ポートスイープ中にスキャンされたポートのリスト。 |
| additionalInfo.sample | security_result.about.labels.value | 検出結果がサンプル検出結果かどうかを示します。 |
| additionalInfo.threatListName | security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| additionalInfo.threatName | security_result.threat_name | 検出結果をトリガーした脅威の名前。 |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 検出結果に関連付けられたユーザー エージェントのカテゴリ。 |
| arn | target.asset.attribute .cloud.project.product_object_id |
検出結果の Amazon Resource Name(ARN)。 |
| detail.accountId | principal.group.product_object_id | 検出結果に関連付けられている AWS アカウント ID。 |
| detail.description | security_result.description | 検出結果の詳細な説明。 |
| detail.id | target.asset.attribute.cloud.project.id | 検出結果の一意の ID。 |
| detail.resource.accessKeyDetails | principal.user | 検出結果に関連する AWS アクセスキーの詳細。 |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 検出結果に関連する AWS アクセスキーの ID。 |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 検出結果に関連する AWS アクセスキーのプリンシパル ID。 |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーのタイプ。 |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーの名前。 |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 検出結果に関連する S3 バケットの ARN。 |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 検出結果に関連する S3 バケットに使用されるサーバーサイド暗号化のタイプ。 |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 検出結果に関連する S3 バケットの名前。 |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのオーナーの ID。 |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 検出に関与する S3 バケットの有効な権限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の読み取りアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の書き込みアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで公開読み取りアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで一般公開の書き込みアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのタイプ。 |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 検出結果に関連付けられているアクションのタイプ。 |
| detail.service.action .awsApiCallAction.api |
principal.application | 検出結果に関連する AWS API 呼び出しの名前。 |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 検出結果に関連する AWS API 呼び出しを行った呼び出し元のタイプ。 |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 検出結果に関連する AWS API 呼び出しに関連付けられているドメイン名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスの緯度。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスの経度。 |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 検出結果に関連する AWS API 呼び出しを行った IP アドレス。 |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 検出結果に関連する AWS サービスの名前。 |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS リクエストがブロックされたかどうか。 |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 検出結果に関連する DNS リクエストに関連付けられているドメイン名。 |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 検出に関与する DNS リクエストに使用されるプロトコル。 |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | ネットワーク接続がブロックされたかどうか。 |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 検出結果に関連するネットワーク接続の方向。 |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | ネットワーク接続に関与するローカル IP アドレス。 |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | ネットワーク接続に関与するローカルポート。 |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | ネットワーク接続に関与するローカルポートの名前。 |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 検出に関与するネットワーク接続に使用されるプロトコル。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | ネットワーク接続に関連するリモート IP アドレスに関連付けられている都市名。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | ネットワーク接続に関連するリモート IP アドレスに関連付けられている国名。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | ネットワーク接続に関与するリモート IP アドレス。 |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | ネットワーク接続に関与するリモートポート。 |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | ネットワーク接続に関与するリモートポートの名前。 |
| detail.service.action .portProbeAction.blocked |
security_result.action | ポートプローブがブロックされたかどうか。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | プローブされたローカルポート。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | プローブされたローカルポートの名前。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | ポートプローブを実行したリモート IP アドレスに関連付けられている都市名。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | ポートプローブを実行したリモート IP アドレスに関連付けられている国名。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | ポートプローブを実行したリモート IP アドレスの緯度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | ポートプローブを実行したリモート IP アドレスの緯度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | ポートプローブを実行したリモート IP アドレス。 |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 検出結果をトリガーした脅威の名前。 |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 検出結果に関連付けられたユーザー エージェントのカテゴリ。 |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
検出結果に関する追加情報。 |
| detail.title | security_result.summary | 検出結果の短いタイトル。 |
| detail.type | metadata.product_event_type | 検出結果のタイプ。 |
| detail.updatedAt | metadata.event_timestamp | ハブの最終更新日時。 |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果をトリガーしたイベントのタイプ。 |
| パーティション | target.asset.attribute .cloud.project.type |
検出結果が発生した AWS パーティション。 |
| resource.accessKeyDetails | principal.user | 検出結果に関連する AWS アクセスキーの詳細。 |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 検出結果に関連する AWS アクセスキーの ID。 |
| resource.accessKeyDetails.principalId | principal.user.userid | 検出結果に関連する AWS アクセスキーのプリンシパル ID。 |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーのタイプ。 |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーの名前。 |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 検出結果に関連する EC2 インスタンスのアベイラビリティ ゾーン。 |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出に関与する EC2 インスタンスの起動に使用された AMI の説明。 |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する EC2 インスタンスの起動に使用された AMI の ID。 |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられている IAM インスタンス プロファイルの ARN。 |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられている IAM インスタンス プロファイルの ID。 |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 検出結果に関連する EC2 インスタンスの ID。 |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスの状態。 |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスのタイプ。 |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 検出結果に関連する EC2 インスタンスが起動された時刻。 |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースの ID。 |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのプライベート DNS 名。 |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのパブリック DNS 名。 |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのパブリック IP アドレス。 |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのプライベート IP アドレス。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているセキュリティ グループの ID。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているセキュリティ グループの名前。 |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているサブネットの ID。 |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられている VPC の ID。 |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているアウトポストの ARN。 |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 検出結果に関連する EC2 インスタンスのプラットフォーム。 |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 検出結果に関連する EC2 インスタンスに関連付けられているプロダクト コードのタイプ。 |
| resource.instanceDetails.tags | target.asset.attribute.labels | 検出結果に関連する EC2 インスタンスに関連付けられているタグ。 |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 検出に関与した Kubernetes ユーザーのユーザー名。 |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
検出結果に関連する RDS DB クラスタの識別子。 |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 検出結果に関連する RDS DB インスタンスの ARN。 |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 検出結果に関連する RDS DB インスタンスの識別子。 |
| resource.rdsDbUserDetails.user | principal.user.userid | 検出に関与した RDS DB ユーザーのユーザー名。 |
| resource.resourceType | target.resource.resource_subtype | 検出結果に関連するリソースのタイプ。 |
| resource.s3BucketDetails | principal.resource.attribute.labels | 検出結果に関連する S3 バケットの詳細。 |
| resource.s3BucketDetails.0.arn | target.resource.name | 検出結果に関連する S3 バケットの ARN。 |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する S3 バケットが作成された時刻。 |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 検出結果に関連する S3 バケットに使用されるサーバーサイド暗号化のタイプ。 |
| resource.s3BucketDetails.0.name | target.resource.name | 検出結果に関連する S3 バケットの名前。 |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのオーナーの ID。 |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 検出に関与する S3 バケットの有効な権限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の読み取りアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の書き込みアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで公開読み取りアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで一般公開の書き込みアクセスが許可されているかどうか。 |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
検出結果に関連する S3 バケットに関連付けられているタグ。 |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのタイプ。 |
| service.action .actionType |
principal.group.attribute.labels.value | 検出結果に関連付けられているアクションのタイプ。 |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する AWS CloudTrail トレイルの名前。 |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する S3 バケットの名前。 |
| service.action .awsApiCallAction.api |
principal.application | 検出結果に関連する AWS API 呼び出しの名前。 |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 検出結果に関連する AWS API 呼び出しを行った呼び出し元のタイプ。 |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 検出結果に関連する AWS API 呼び出しに関連付けられているドメイン名。 |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 検出結果に関連する AWS API 呼び出しに関連付けられているエラーコード。 |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスの緯度。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスの経度。 |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 検出結果に関連する AWS API 呼び出しを行った IP アドレス。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の自律システム番号(ASN)。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の名前。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられているインターネット サービス プロバイダ(ISP)の名前。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の名前。 |
| service.action .awsApiCallAction.serviceName |
metadata.description | 検出結果に関連する AWS サービスの名前。 |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS リクエストがブロックされたかどうか。 |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 検出結果に関連する DNS リクエストに関連付けられているドメイン名。 |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 検出に関与する DNS リクエストに使用されるプロトコル。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 検出結果に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 検出結果に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスの緯度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 検出結果に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスの経度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 検出結果に関連する Kubernetes API 呼び出しを行った IP アドレス。 |
| service.action .networkConnectionAction.blocked |
security_result.action | ネットワーク接続がブロックされたかどうか。 |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 検出結果に関連するネットワーク接続の方向。 |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | ネットワーク接続に関与するローカル IP アドレス。 |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | ネットワーク接続に関与するローカルポート。 |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | ネットワーク接続に関与するローカルポートの名前。 |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 検出に関与するネットワーク接続に使用されるプロトコル。 |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | ネットワーク接続に関連するリモート IP アドレスに関連付けられている都市名。 |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | ネットワーク接続に関連するリモート IP アドレスに関連付けられている国名。 |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | ネットワーク接続に関与するリモート IP アドレス。 |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | ネットワーク接続に関与するリモートポート。 |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | ネットワーク接続に関与するリモートポートの名前。 |
| service.action .portProbeAction.blocked |
security_result.action | ポートプローブがブロックされたかどうか。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | プローブされたローカルポート。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | プローブされたローカルポートの名前。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | ポートプローブを実行したリモート IP アドレスに関連付けられている都市名。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | ポートプローブを実行したリモート IP アドレスに関連付けられている国名。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | ポートプローブを実行したリモート IP アドレスの緯度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | ポートプローブを実行したリモート IP アドレスの緯度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | ポートプローブを実行したリモート IP アドレス。 |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | スキャンされたポートのサンプル。 |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 最近使用された認証情報のリスト。 |
| service.additionalInfo.sample | security_result.about .labels.value |
検出結果がサンプル検出結果かどうかを示します。 |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| service.additionalInfo.threatName | security_result.threat_name | 検出結果をトリガーした脅威の名前。 |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
検出結果に関連付けられたユーザー エージェントのカテゴリ。 |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
検出結果に関する追加情報。 |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
検出結果がアーカイブされているかどうか。 |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
イベントが発生した回数。 |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果を生成した GuardDuty 検出項目の ID。 |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS ボリュームのスキャン中に検出された脅威の合計数。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。