AWS GuardDuty 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 AWS GuardDuty 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 GUARDDUTY 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- AWS S3 버킷이 생성됩니다. AWS S3 버킷을 만들려면 첫 번째 S3 버킷 만들기를 참고하세요.
- KMS 키가 생성됩니다. KMS 키를 만들려면 비대칭 KMS 키 만들기를 참고하세요.
- AWS GuardDuty에 KMS 키에 액세스할 권한이 있습니다. KMS 키에 대한 액세스 권한을 부여하려면 발견 항목 내보내기를 참고하세요. GuardDuty는 AWS KMS 키를 사용하여 버킷의 검색 결과 데이터를 암호화합니다.
AWS GuardDuty 구성
AWS GuardDuty를 구성하려면 다음 단계를 따르세요.
- AWS 콘솔에 로그인합니다.
- GuardDuty를 검색합니다.
- 설정을 선택합니다.
내보내기 옵션 찾기 섹션에서 다음을 수행합니다.
- 업데이트된 결과의 빈도 목록에서 15분마다 CWE 및 S3 업데이트를 선택합니다. 빈도 선택은 업데이트된 발견 항목에 적용됩니다. 새 발견 항목은 생성된 후 5분이 지나면 내보내집니다.
- S3 버킷 섹션에서 GuardDuty 결과를 내보낼 S3 버킷을 선택합니다.
- 로그 파일 접두사 섹션에 로그 파일 접두사를 입력합니다.
- KMS 암호화 섹션에서 KMS 암호화를 선택합니다.
- 키 별칭 목록에서 키를 선택합니다.
- 저장을 클릭합니다.
로그 파일이 S3 버킷에 저장되면 SQS 대기열을 만들고 S3 버킷에 연결합니다.
샘플 KMS 정책
다음은 샘플 KMS 정책입니다.
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
다음을 바꿉니다.
- AWS_REGION: 선택한 리전입니다.
- KEY_ARN: KMS 키의 Amazon 리소스 이름 (ARN)
S3, SQS, KMS에 필요한 IAM 사용자 및 KMS 키 정책을 확인합니다.
서비스 및 지역에 따라 다음 AWS 문서를 참고하여 연결 엔드포인트를 식별합니다.
- 로깅 소스에 대한 자세한 내용은 AWS Identity and Access Management 엔드포인트 및 할당량을 참고하세요.
- S3 로깅 소스에 대한 자세한 내용은 Amazon Simple Storage Service 엔드포인트 및 할당량을 참고하세요.
- SQS 로깅 소스에 대한 자세한 내용은 Amazon Simple Queue Service 엔드포인트 및 할당량을 참고하세요.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름에 고유한 이름을 입력합니다.
- 소스 유형으로 Amazon S3 V2 또는 Amazon SQS V2를 선택합니다.
- 로그 유형으로 AWS GuardDuty를 선택합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
- Google Security Operations는 액세스 키 ID 및 보안 비밀 방법을 사용한 로그 수집을 지원합니다. 액세스 키 ID와 보안 비밀을 만드는 방법은 AWS로 도구 인증 구성을 참고하세요.
사용자가 만든 AWS GuardDuty 구성에 따라 다음 필드의 값을 지정합니다.
- Amazon S3 V2를 사용하는 경우
- **S3 URI**
- **소스 삭제 옵션**
- **최대 파일 기간**
- Amazon SQS V2를 사용하는 경우
- 대기열 이름
- 계좌 번호
- 대기열 액세스 키 ID
- 대기열 보안 비밀 액세스 키
- 소스 삭제 옵션
- 최대 파일 기간
다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서 코드는 JSON 형식의 AWS GuardDuty 결과를 처리하여 관련 필드를 추출하고 통합 데이터 모델 (UDM)에 매핑합니다. 문자열 바꾸기, 배열 병합, 데이터 유형 변환 등 데이터 변환을 실행하여 분석 및 상관관계 분석을 위한 보안 이벤트의 구조화된 표현을 만듭니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| accountId | principal.group.product_object_id | 결과와 연결된 AWS 계정 ID입니다. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | 포트 스위핑 중에 스캔된 포트 목록입니다. |
| additionalInfo.sample | security_result.about.labels.value | 샘플 결과인지 여부를 나타냅니다. |
| additionalInfo.threatListName | security_result.threat_feed_name | 발견 항목을 트리거한 위협 목록의 이름입니다. |
| additionalInfo.threatName | security_result.threat_name | 발견 항목을 트리거한 위협의 이름입니다. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 발견 항목과 연결된 전체 사용자 에이전트 문자열입니다. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| arn | target.asset.attribute .cloud.project.product_object_id |
발견 항목의 Amazon 리소스 이름 (ARN)입니다. |
| detail.accountId | principal.group.product_object_id | 결과와 연결된 AWS 계정 ID입니다. |
| detail.description | security_result.description | 발견 항목에 대한 자세한 설명입니다. |
| detail.id | target.asset.attribute.cloud.project.id | 발견 항목의 고유 ID입니다. |
| detail.resource.accessKeyDetails | principal.user | 발견 항목과 관련된 AWS 액세스 키에 관한 세부정보입니다. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 발견 항목과 관련된 AWS 액세스 키의 ID입니다. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 발견 항목과 관련된 AWS 액세스 키의 주 구성원 ID입니다. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 발견 항목과 관련된 AWS 액세스 키와 연결된 사용자 유형입니다. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 발견 항목과 관련된 AWS 액세스 키와 연결된 사용자의 이름입니다. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 발견 항목과 관련된 S3 버킷의 ARN입니다. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 감지에 관련된 S3 버킷에 사용된 서버 측 암호화 유형입니다. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 발견 항목과 관련된 S3 버킷의 이름입니다. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 소유자 ID입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 유효 권한입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)이 공개 읽기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 읽기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 유형입니다. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 발견 항목과 연결된 작업의 유형입니다. |
| detail.service.action .awsApiCallAction.api |
principal.application | 결과와 관련된 AWS API 호출의 이름입니다. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 결과와 관련된 AWS API 호출을 수행한 호출자의 유형입니다. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 발견과 관련된 AWS API 호출과 연결된 도메인 이름입니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 원격 IP 주소와 연결된 국가 이름입니다. 이 IP 주소는 발견 사항과 관련된 AWS API 호출을 수행했습니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | AWS API 호출을 수행한 원격 IP 주소의 위도입니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | AWS API 호출을 수행한 원격 IP 주소의 경도입니다. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 결과와 관련된 AWS API 호출을 수행한 IP 주소입니다. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 결과와 관련된 AWS 서비스의 이름입니다. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS 요청이 차단되었는지 여부입니다. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 발견 항목과 관련된 DNS 요청과 연결된 도메인 이름입니다. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 발견과 관련된 DNS 요청에 사용된 프로토콜입니다. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | 네트워크 연결이 차단되었는지 여부입니다. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 발견 항목과 관련된 네트워크 연결의 방향입니다. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 네트워크 연결과 관련된 로컬 IP 주소입니다. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | 네트워크 연결과 관련된 로컬 포트입니다. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 네트워크 연결과 관련된 로컬 포트의 이름입니다. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 위반사항과 관련된 네트워크 연결에 사용된 프로토콜입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 네트워크 연결과 관련된 원격 IP 주소와 연결된 도시 이름입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 네트워크 연결과 관련된 원격 IP 주소와 연결된 국가 이름입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 네트워크 연결과 관련된 원격 IP 주소입니다. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | 네트워크 연결과 관련된 원격 포트입니다. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 네트워크 연결과 관련된 원격 포트의 이름입니다. |
| detail.service.action .portProbeAction.blocked |
security_result.action | 포트 프로브가 차단되었는지 여부입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | 프로브된 로컬 포트입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | 프로브된 로컬 포트의 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | 포트 프로브를 실행한 원격 IP 주소와 연결된 도시 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | 포트 프로브를 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 포트 프로브를 실행한 원격 IP 주소의 위도입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 포트 프로브를 실행한 원격 IP 주소의 경도입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 포트 프로브를 실행한 원격 IP 주소입니다. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 발견 항목을 트리거한 위협 목록의 이름입니다. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 발견 항목을 트리거한 위협의 이름입니다. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 발견 항목과 연결된 전체 사용자 에이전트 문자열입니다. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
발견 항목에 대한 추가 정보입니다. |
| detail.title | security_result.summary | 발견 사항의 짧은 제목입니다. |
| detail.type | metadata.product_event_type | 발견 항목 유형입니다. |
| detail.updatedAt | metadata.event_timestamp | 발견 항목이 마지막으로 업데이트된 시간입니다. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
발견 항목을 트리거한 이벤트의 유형입니다. |
| 파티션 | target.asset.attribute .cloud.project.type |
결과가 발생한 AWS 파티션입니다. |
| resource.accessKeyDetails | principal.user | 발견 항목과 관련된 AWS 액세스 키에 관한 세부정보입니다. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 발견 항목과 관련된 AWS 액세스 키의 ID입니다. |
| resource.accessKeyDetails.principalId | principal.user.userid | 발견 항목과 관련된 AWS 액세스 키의 주 구성원 ID입니다. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 발견 항목과 관련된 AWS 액세스 키와 연결된 사용자 유형입니다. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 발견 항목과 관련된 AWS 액세스 키와 연결된 사용자의 이름입니다. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 발견 항목과 관련된 EC2 인스턴스의 가용성 영역입니다. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
결과와 관련된 EC2 인스턴스를 실행하는 데 사용된 AMI의 설명입니다. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
결과와 관련된 EC2 인스턴스를 실행하는 데 사용된 AMI의 ID입니다. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 IAM 인스턴스 프로필의 ARN입니다. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 IAM 인스턴스 프로필의 ID입니다. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 발견 항목과 관련된 EC2 인스턴스의 ID입니다. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스의 상태입니다. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스의 유형입니다. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 발견 항목과 관련된 EC2 인스턴스가 실행된 시간입니다. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 결과와 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 비공개 DNS 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 공개 DNS 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 발견 항목과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 공개 IP 주소입니다. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | EC2 인스턴스와 연결된 네트워크 인터페이스의 비공개 IP 주소입니다. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 발견 항목과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 보안 그룹의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | EC2 인스턴스의 네트워크 인터페이스와 연결된 보안 그룹의 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 서브넷의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 결과와 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 VPC의 ID입니다. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 아웃포스트의 ARN입니다. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 발견 항목과 관련된 EC2 인스턴스의 플랫폼입니다. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 발견 항목과 관련된 EC2 인스턴스와 연결된 제품 코드의 유형입니다. |
| resource.instanceDetails.tags | target.asset.attribute.labels | 발견 항목과 관련된 EC2 인스턴스와 연결된 태그입니다. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 취약성과 관련된 Kubernetes 사용자의 사용자 이름입니다. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
발견 항목과 관련된 RDS DB 클러스터의 식별자입니다. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 발견 항목과 관련된 RDS DB 인스턴스의 ARN입니다. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 발견 항목과 관련된 RDS DB 인스턴스의 식별자입니다. |
| resource.rdsDbUserDetails.user | principal.user.userid | 발견과 관련된 RDS DB 사용자의 사용자 이름입니다. |
| resource.resourceType | target.resource.resource_subtype | 발견 항목과 관련된 리소스 유형입니다. |
| resource.s3BucketDetails | principal.resource.attribute.labels | 발견 항목과 관련된 S3 버킷에 대한 세부정보입니다. |
| resource.s3BucketDetails.0.arn | target.resource.name | 발견 항목과 관련된 S3 버킷의 ARN입니다. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견 항목과 관련된 S3 버킷이 생성된 시간입니다. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 감지에 관련된 S3 버킷에 사용된 서버 측 암호화 유형입니다. |
| resource.s3BucketDetails.0.name | target.resource.name | 발견 항목과 관련된 S3 버킷의 이름입니다. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 소유자 ID입니다. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 유효 권한입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)이 공개 읽기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 읽기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
발견 항목과 관련된 S3 버킷과 연결된 태그입니다. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 발견 항목과 관련된 S3 버킷의 유형입니다. |
| service.action .actionType |
principal.group.attribute.labels.value | 발견 항목과 연결된 작업의 유형입니다. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
결과와 관련된 AWS CloudTrail 트레일의 이름입니다. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견 항목과 관련된 S3 버킷의 이름입니다. |
| service.action .awsApiCallAction.api |
principal.application | 결과와 관련된 AWS API 호출의 이름입니다. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 결과와 관련된 AWS API 호출을 수행한 호출자의 유형입니다. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 발견과 관련된 AWS API 호출과 연결된 도메인 이름입니다. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 발견과 관련된 AWS API 호출과 관련된 오류 코드입니다. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 원격 IP 주소와 연결된 국가 이름입니다. 이 IP 주소는 발견 사항과 관련된 AWS API 호출을 수행했습니다. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | AWS API 호출을 수행한 원격 IP 주소의 위도입니다. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | AWS API 호출을 수행한 원격 IP 주소의 경도입니다. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 결과와 관련된 AWS API 호출을 수행한 IP 주소입니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
원격 IP 주소와 연결된 조직의 자율 시스템 번호 (ASN)입니다. 이 IP 주소는 발견 사항과 관련된 AWS API 호출을 수행했습니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
원격 IP 주소와 연결된 조직의 이름입니다. 이 조직은 발견에 관련된 AWS API 호출을 수행했습니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
원격 IP 주소와 연결된 인터넷 서비스 제공업체 (ISP)의 이름입니다. 이 IP 주소는 조사 결과와 관련된 AWS API 호출을 수행했습니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
원격 IP 주소와 연결된 조직의 이름입니다. 이 조직은 발견에 관련된 AWS API 호출을 수행했습니다. |
| service.action .awsApiCallAction.serviceName |
metadata.description | 결과와 관련된 AWS 서비스의 이름입니다. |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS 요청이 차단되었는지 여부입니다. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 발견 항목과 관련된 DNS 요청과 연결된 도메인 이름입니다. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 발견과 관련된 DNS 요청에 사용된 프로토콜입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 발견 항목과 관련된 Kubernetes API 호출을 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 발견과 관련된 Kubernetes API 호출을 수행한 원격 IP 주소의 위도입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 결과와 관련된 Kubernetes API 호출을 수행한 원격 IP 주소의 경도입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 감지에 관련된 Kubernetes API 호출을 수행한 IP 주소입니다. |
| service.action .networkConnectionAction.blocked |
security_result.action | 네트워크 연결이 차단되었는지 여부입니다. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 발견 항목과 관련된 네트워크 연결의 방향입니다. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 네트워크 연결과 관련된 로컬 IP 주소입니다. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | 네트워크 연결과 관련된 로컬 포트입니다. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 네트워크 연결과 관련된 로컬 포트의 이름입니다. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 위반사항과 관련된 네트워크 연결에 사용된 프로토콜입니다. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 네트워크 연결과 관련된 원격 IP 주소와 연결된 도시 이름입니다. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 네트워크 연결과 관련된 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 네트워크 연결과 관련된 원격 IP 주소입니다. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | 네트워크 연결과 관련된 원격 포트입니다. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 네트워크 연결과 관련된 원격 포트의 이름입니다. |
| service.action .portProbeAction.blocked |
security_result.action | 포트 프로브가 차단되었는지 여부입니다. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | 프로브된 로컬 포트입니다. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | 프로브된 로컬 포트의 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | 포트 프로브를 실행한 원격 IP 주소와 연결된 도시 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | 포트 프로브를 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | 포트 프로브를 실행한 원격 IP 주소의 위도입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | 포트 프로브를 실행한 원격 IP 주소의 경도입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 포트 프로브를 실행한 원격 IP 주소입니다. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | 스캔된 포트의 샘플입니다. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 사용된 최근 사용자 인증 정보 목록입니다. |
| service.additionalInfo.sample | security_result.about .labels.value |
샘플 결과인지 여부를 나타냅니다. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 발견 항목을 트리거한 위협 목록의 이름입니다. |
| service.additionalInfo.threatName | security_result.threat_name | 발견 항목을 트리거한 위협의 이름입니다. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 발견 항목과 연결된 전체 사용자 에이전트 문자열입니다. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
발견 항목에 대한 추가 정보입니다. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
결과가 보관처리되었는지 여부입니다. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
이벤트가 발생한 횟수입니다. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
발견 항목을 생성한 GuardDuty 감지기의 ID입니다. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS 볼륨 검사 중에 감지된 총 위협 수입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.