Recolha registos do AWS GuardDuty
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do AWS GuardDuty configurando um feed do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento GUARDDUTY.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- O contentor do AWS S3 é criado. Para criar o contentor do AWS S3, consulte o artigo Crie o seu primeiro contentor do S3.
- A chave do KMS é criada. Para criar a chave do KMS, consulte o artigo Criar chaves do KMS assimétricas.
- O AWS GuardDuty tem autorização para aceder à chave do KMS. Para conceder acesso à chave do KMS, consulte o artigo Exportar resultados. O GuardDuty encripta os dados de resultados no seu contentor através de uma chave do AWS KMS.
Configure o AWS GuardDuty
Para configurar o AWS GuardDuty, faça o seguinte:
- Inicie sessão na consola da AWS.
- Pesquise GuardDuty.
- Selecione Definições.
Na secção Encontrar opção de exportação, faça o seguinte:
- Na lista Frequência de resultados atualizados, selecione Atualizar CWE e S3 a cada 15 minutos. A seleção de frequência destina-se às conclusões atualizadas. As novas conclusões são exportadas 5 minutos após a criação.
- Na secção S3 bucket, selecione o S3 bucket no qual quer exportar as conclusões do GuardDuty.
- Na secção Prefixo do ficheiro de registo, indique o prefixo do ficheiro de registo.
- Na secção Encriptação KMS, selecione a encriptação KMS.
- Na lista Alias da chave, selecione a chave.
- Clique em Guardar.
Depois de os ficheiros de registo serem armazenados no contentor do S3, crie uma fila do SQS e anexe-a ao contentor do S3.
Exemplo de política do KMS
Segue-se um exemplo de uma política do KMS:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
Substitua o seguinte:
- AWS_REGION: a região escolhida.
- KEY_ARN: Amazon Resource Name (ARN) da chave do KMS.
Verifique as políticas de utilizadores do IAM e de chaves do KMS necessárias para o S3, o SQS e o KMS.
Com base no serviço e na região, identifique os pontos finais para a conetividade consultando a seguinte documentação da AWS:
- Para obter informações sobre quaisquer origens de registo, consulte Pontos finais e quotas da gestão de identidade e acesso da AWS.
- Para obter informações sobre as origens de registo do S3, consulte o artigo Pontos finais e quotas do Amazon Simple Storage Service.
- Para obter informações sobre origens de registo do SQS, consulte o artigo Pontos finais e quotas do Amazon Simple Queue Service.
Configure feeds
Para configurar um feed, siga estes passos:
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na página seguinte, clique em Configurar um único feed.
- Introduza um nome exclusivo para o Nome do feed.
- Selecione Amazon S3 V2 ou Amazon SQS V2 como o Tipo de origem.
- Selecione AWS GuardDuty como o Tipo de registo.
- Clique em Seguinte e, de seguida, em Enviar.
- O Google Security Operations suporta a recolha de registos através de um ID da chave de acesso e de um método secreto. Para criar o ID da chave de acesso e o segredo, consulte o artigo Configure a autenticação de ferramentas com a AWS.
Com base na configuração do AWS GuardDuty que criou, especifique os valores dos seguintes campos.
- Se usar o Amazon S3 V2
- **URI do S3**
- **Opção de eliminação de fontes**
- **Idade máxima do ficheiro**
- Se estiver a usar o Amazon SQS V2
- Nome da fila
- Número da conta
- ID da chave de acesso à fila
- Chave de acesso secreta da fila
- Opção de eliminação da fonte
- Idade máxima do ficheiro
Clique em Seguinte e, de seguida, em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo. Se tiver problemas ao criar feeds, contacte o apoio técnico das operações de segurança da Google
Referência de mapeamento de campos
Este código de análise processa as conclusões do AWS GuardDuty no formato JSON, extraindo os campos relevantes e mapeando-os para um modelo de dados unificado (UDM). Executa transformações de dados, incluindo substituições de strings, união de matrizes e conversão de tipos de dados, para criar uma representação estruturada do evento de segurança para análise e correlação.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| accountId | principal.group.product_object_id | O ID da conta da AWS associado à descoberta. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | Lista de portas analisadas durante uma análise de portas. |
| additionalInfo.sample | security_result.about.labels.value | Indica se a descoberta é uma descoberta de exemplo. |
| additionalInfo.threatListName | security_result.threat_feed_name | O nome da lista de ameaças que acionou a descoberta. |
| additionalInfo.threatName | security_result.threat_name | O nome da ameaça que acionou a descoberta. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | A string completa do agente do utilizador associada à descoberta. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | A categoria do agente do utilizador associada à descoberta. |
| arn | target.asset.attribute .cloud.project.product_object_id |
O Nome do recurso da Amazon (ARN) da descoberta. |
| detail.accountId | principal.group.product_object_id | O ID da conta da AWS associado à descoberta. |
| detail.description | security_result.description | Uma descrição detalhada da descoberta. |
| detail.id | target.asset.attribute.cloud.project.id | Um ID exclusivo da descoberta. |
| detail.resource.accessKeyDetails | principal.user | Detalhes sobre a chave de acesso da AWS envolvida na descoberta. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | O ID da chave de acesso da AWS envolvida na descoberta. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | O ID principal da chave de acesso da AWS envolvida na descoberta. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | O tipo de utilizador associado à chave de acesso da AWS envolvida na descoberta. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | O nome do utilizador associado à chave de acesso da AWS envolvida na descoberta. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | O ARN do contentor do S3 envolvido na descoberta. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | O tipo de encriptação do lado do servidor usado para o contentor do S3 envolvido na descoberta. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | O nome do contentor do S3 envolvido na descoberta. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | O ID do proprietário do contentor do S3 envolvido na descoberta. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | A autorização em vigor do contentor do S3 envolvido na descoberta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a lista de controlo de acesso (ACL) permite o acesso de leitura público. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a lista de controlo de acesso (ACL) permite o acesso de escrita público. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a política do contentor permite o acesso público de leitura. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a política do contentor permite o acesso público de escrita. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | O tipo de contentor do S3 envolvido na descoberta. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | O tipo de ação associado à descoberta. |
| detail.service.action .awsApiCallAction.api |
principal.application | O nome da chamada da API AWS envolvida na descoberta. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | O tipo de autor da chamada API AWS envolvida na descoberta. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | O nome do domínio associado à chamada da API AWS envolvida na descoberta. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto que fez a chamada da API AWS envolvida na deteção. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | A latitude do endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | A longitude do endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | O endereço IP que fez a chamada da API AWS envolvida na descoberta. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | O nome do serviço AWS envolvido na descoberta. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | Se o pedido de DNS foi bloqueado. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | O nome de domínio associado ao pedido de DNS envolvido na descoberta. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | O protocolo usado para o pedido de DNS envolvido na descoberta. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | Se a ligação de rede foi bloqueada. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | A direção da ligação de rede envolvida na descoberta. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | O endereço IP local envolvido na ligação de rede. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | A porta local envolvida na ligação de rede. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | O nome da porta local envolvida na ligação de rede. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | O protocolo usado para a ligação de rede envolvida na descoberta. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | O nome da cidade associado ao endereço IP remoto envolvido na ligação de rede. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto envolvido na ligação de rede. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | O endereço IP remoto envolvido na ligação de rede. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | A porta remota envolvida na ligação de rede. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | O nome da porta remota envolvida na ligação de rede. |
| detail.service.action .portProbeAction.blocked |
security_result.action | Se a análise de portas foi bloqueada. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | A porta local que foi sondada. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | O nome da porta local que foi sondada. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | O nome da cidade associado ao endereço IP remoto que realizou a análise de portas. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto que realizou a sondagem de portas. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | A latitude do endereço IP remoto que realizou a sondagem de portas. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | A longitude do endereço IP remoto que realizou a análise de portas. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | O endereço IP remoto que realizou a sondagem de portas. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | O nome da lista de ameaças que acionou a descoberta. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | O nome da ameaça que acionou a descoberta. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | A string completa do agente do utilizador associada à descoberta. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | A categoria do agente do utilizador associada à descoberta. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
Informações adicionais sobre a descoberta. |
| detail.title | security_result.summary | Um título curto para a descoberta. |
| detail.type | metadata.product_event_type | O tipo de descoberta. |
| detail.updatedAt | metadata.event_timestamp | A hora da última atualização da descoberta. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
O tipo de evento que acionou a descoberta. |
| partição | target.asset.attribute .cloud.project.type |
A partição da AWS em que a descoberta ocorreu. |
| resource.accessKeyDetails | principal.user | Detalhes sobre a chave de acesso da AWS envolvida na descoberta. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | O ID da chave de acesso da AWS envolvida na descoberta. |
| resource.accessKeyDetails.principalId | principal.user.userid | O ID principal da chave de acesso da AWS envolvida na descoberta. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | O tipo de utilizador associado à chave de acesso da AWS envolvida na descoberta. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | O nome do utilizador associado à chave de acesso da AWS envolvida na descoberta. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | A zona de disponibilidade da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
A descrição da AMI usada para iniciar a instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
O ID da AMI usada para iniciar a instância do EC2 envolvida na deteção. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | O ARN do perfil da instância do IAM associado à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | O ID do perfil da instância do IAM associado à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | O ID da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | O estado da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | O tipo de instância do EC2 envolvido na descoberta. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | A hora em que a instância do EC2 envolvida na descoberta foi iniciada. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | O ID da interface de rede associada à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | O nome DNS privado da interface de rede associada à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | O nome DNS público da interface de rede associada à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | O endereço IP público da interface de rede associada à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | O endereço IP privado da interface de rede associada à instância do EC2 envolvida na deteção. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | O ID do grupo de segurança associado à interface de rede da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | O nome do grupo de segurança associado à interface de rede da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | O ID da sub-rede associada à interface de rede da instância do EC2 envolvida na deteção. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | O ID da VPC associada à interface de rede da instância do EC2 envolvida na deteção. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | O ARN do posto avançado associado à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | A plataforma da instância do EC2 envolvida na descoberta. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | O tipo de código de produto associado à instância do EC2 envolvida na descoberta. |
| resource.instanceDetails.tags | target.asset.attribute.labels | As etiquetas associadas à instância do EC2 envolvida na descoberta. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | O nome de utilizador do utilizador do Kubernetes envolvido na descoberta. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
O identificador do cluster de base de dados do RDS envolvido na descoberta. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | O ARN da instância de base de dados do RDS envolvida na descoberta. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | O identificador da instância de base de dados RDS envolvida na descoberta. |
| resource.rdsDbUserDetails.user | principal.user.userid | O nome de utilizador do utilizador da base de dados do RDS envolvido na descoberta. |
| resource.resourceType | target.resource.resource_subtype | O tipo de recurso envolvido na descoberta. |
| resource.s3BucketDetails | principal.resource.attribute.labels | Detalhes sobre o contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails.0.arn | target.resource.name | O ARN do contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
A hora em que o contentor do S3 envolvido na descoberta foi criado. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | O tipo de encriptação do lado do servidor usado para o contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails.0.name | target.resource.name | O nome do contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | O ID do proprietário do contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | A autorização em vigor do contentor do S3 envolvido na descoberta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para a conta. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a lista de controlo de acesso (ACL) permite o acesso de leitura público. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a lista de controlo de acesso (ACL) permite o acesso de escrita público. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se os bloqueios de acesso público estão ativados para o contentor. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a política do contentor permite o acesso público de leitura. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
Se a política do contentor permite o acesso público de escrita. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
As etiquetas associadas ao depósito do S3 envolvido na descoberta. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | O tipo de contentor do S3 envolvido na descoberta. |
| service.action .actionType |
principal.group.attribute.labels.value | O tipo de ação associado à descoberta. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
O nome da trilha do AWS CloudTrail envolvida na descoberta. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
O nome do contentor do S3 envolvido na descoberta. |
| service.action .awsApiCallAction.api |
principal.application | O nome da chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | O tipo de autor da chamada API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | O nome do domínio associado à chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | O código de erro associado à chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto que fez a chamada da API AWS envolvida na deteção. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | A latitude do endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | A longitude do endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | O endereço IP que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
O número do sistema autónomo (ASN) da organização associada ao endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
O nome da organização associada ao endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
O nome do fornecedor de serviços de Internet (ISP) associado ao endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
O nome da organização associada ao endereço IP remoto que fez a chamada da API AWS envolvida na descoberta. |
| service.action .awsApiCallAction.serviceName |
metadata.description | O nome do serviço AWS envolvido na descoberta. |
| service.action .dnsRequestAction.blocked |
security_result.action | Se o pedido de DNS foi bloqueado. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | O nome de domínio associado ao pedido de DNS envolvido na descoberta. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | O protocolo usado para o pedido de DNS envolvido na descoberta. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto que fez a chamada da API Kubernetes envolvida na descoberta. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | A latitude do endereço IP remoto que fez a chamada da API Kubernetes envolvida na descoberta. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | A longitude do endereço IP remoto que fez a chamada da API Kubernetes envolvida na descoberta. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | O endereço IP que fez a chamada API Kubernetes envolvida na descoberta. |
| service.action .networkConnectionAction.blocked |
security_result.action | Se a ligação de rede foi bloqueada. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | A direção da ligação de rede envolvida na descoberta. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | O endereço IP local envolvido na ligação de rede. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | A porta local envolvida na ligação de rede. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | O nome da porta local envolvida na ligação de rede. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | O protocolo usado para a ligação de rede envolvida na descoberta. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | O nome da cidade associado ao endereço IP remoto envolvido na ligação de rede. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto envolvido na ligação de rede. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | O endereço IP remoto envolvido na ligação de rede. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | A porta remota envolvida na ligação de rede. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | O nome da porta remota envolvida na ligação de rede. |
| service.action .portProbeAction.blocked |
security_result.action | Se a análise de portas foi bloqueada. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | A porta local que foi sondada. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | O nome da porta local que foi sondada. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | O nome da cidade associado ao endereço IP remoto que realizou a análise de portas. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | O nome do país associado ao endereço IP remoto que realizou a sondagem de portas. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | A latitude do endereço IP remoto que realizou a sondagem de portas. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | A longitude do endereço IP remoto que realizou a análise de portas. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | O endereço IP remoto que realizou a sondagem de portas. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | Uma amostra das portas que foram analisadas. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | Uma lista de credenciais recentes que foram usadas. |
| service.additionalInfo.sample | security_result.about .labels.value |
Indica se a descoberta é uma descoberta de exemplo. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | O nome da lista de ameaças que acionou a descoberta. |
| service.additionalInfo.threatName | security_result.threat_name | O nome da ameaça que acionou a descoberta. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | A string completa do agente do utilizador associada à descoberta. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
A categoria do agente do utilizador associada à descoberta. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
Informações adicionais sobre a descoberta. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
Se a descoberta está arquivada. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
O número de vezes que o evento ocorreu. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
O ID do detetor do GuardDuty que gerou a descoberta. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
O número total de ameaças detetadas durante a análise de volume do EBS. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.