收集 AWS GuardDuty 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 AWS GuardDuty 日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 GUARDDUTY 注入标签的解析器。
准备工作
确保您满足以下前提条件:
- AWS S3 存储桶已创建。如需创建 AWS S3 存储桶,请参阅创建您的第一个 S3 存储桶。
- KMS 密钥已创建。如需创建 KMS 密钥,请参阅创建非对称 KMS 密钥。
- AWS GuardDuty 有权访问 KMS 密钥。如需授予对 KMS 密钥的访问权限,请参阅导出检测结果。 GuardDuty 会使用 AWS KMS 密钥加密存储桶中的检测结果数据。
配置 AWS GuardDuty
如需配置 AWS GuardDuty,请执行以下操作:
- 登录 AWS 控制台。
- 搜索 GuardDuty。
- 选择设置。
在查找导出选项部分,执行以下操作:
- 从更新后的发现的频率列表中,选择每 15 分钟更新一次 CWE 和 S3。频次选择适用于更新后的发现结果。新发现结果会在创建 5 分钟后导出。
- 在 S3 存储桶部分中,选择要将 GuardDuty 发现结果导出到的 S3 存储桶。
- 在日志文件前缀部分中,提供日志文件前缀。
- 在 KMS 加密部分中,选择 KMS 加密。
- 从密钥别名列表中选择密钥。
- 点击保存。
将日志文件存储在 S3 存储桶中后,创建 SQS 队列并将其附加到 S3 存储桶。
KMS 政策示例
以下是 KMS 政策示例:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
替换以下内容:
- AWS_REGION:所选区域。
- KEY_ARN:KMS 密钥的 Amazon 资源名称 (ARN)。
检查 S3、SQS 和 KMS 所需的 IAM 用户和 KMS 密钥政策。
根据服务和区域,参考以下 AWS 文档确定连接端点:
- 如需了解任何日志记录来源,请参阅 AWS Identity and Access Management 端点和配额。
- 如需了解 S3 日志记录来源,请参阅 Amazon Simple Storage Service 端点和配额。
- 如需了解 SQS 日志记录来源,请参阅 Amazon Simple Queue Service 端点和配额。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 为Feed 名称输入一个唯一名称。
- 选择 Amazon S3 或 Amazon SQS 作为来源类型。
- 选择 AWS GuardDuty 作为日志类型。
- 点击下一步,然后点击提交。
- Google Security Operations 支持使用访问密钥 ID 和密钥方法收集日志。如需创建访问密钥 ID 和密钥,请参阅使用 AWS 配置工具身份验证。
根据您创建的 AWS GuardDuty 配置,为以下字段指定值。
- 如果使用 Amazon S3
- 区域
- S3 URI
- URI 是
- 来源删除选项
- 如果使用 Amazon SQS
- 区域
- 队列名称
- 账号
- 队列访问密钥 ID
- 队列私有访问密钥
- 来源删除选项
点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系
设置来自内容中心的 Feed
为以下字段指定值:
如果使用 Amazon S3:
- 区域
- S3 URI
- URI 是
- 来源删除选项
如果使用 Amazon SQS:
- 区域
- 队列名称
- 账号
- 队列访问密钥 ID
- 队列私有访问密钥
- 来源删除选项
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
字段映射参考
此解析器代码用于处理 JSON 格式的 AWS GuardDuty 检测结果,提取相关字段并将其映射到统一数据模型 (UDM)。它会执行数据转换,包括字符串替换、合并数组和转换数据类型,以创建安全事件的结构化表示形式,以便进行分析和关联。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accountId | principal.group.product_object_id | 与发现关联的 AWS 账号 ID。 |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | 端口扫描期间扫描的端口列表。 |
| additionalInfo.sample | security_result.about.labels.value | 指示相应发现结果是否为示例发现结果。 |
| additionalInfo.threatListName | security_result.threat_feed_name | 触发检测结果的威胁列表的名称。 |
| additionalInfo.threatName | security_result.threat_name | 触发相应发现结果的威胁的名称。 |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 与发现结果关联的用户代理的类别。 |
| arn | target.asset.attribute .cloud.project.product_object_id |
相应发现结果的 Amazon 资源名称 (ARN)。 |
| detail.accountId | principal.group.product_object_id | 与发现关联的 AWS 账号 ID。 |
| detail.description | security_result.description | 发现结果的详细说明。 |
| detail.id | target.asset.attribute.cloud.project.id | 检测结果的唯一 ID。 |
| detail.resource.accessKeyDetails | principal.user | 与发现结果相关的 AWS 访问密钥的详细信息。 |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 发现结果中涉及的 AWS 访问密钥的 ID。 |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 发现结果中涉及的 AWS 访问密钥的主账号 ID。 |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 与发现结果中涉及的 AWS 访问密钥关联的用户类型。 |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 与发现结果中涉及的 AWS 访问密钥关联的用户的名称。 |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 发现结果中涉及的 S3 存储桶的 ARN。 |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 发现中涉及的 S3 存储桶所使用的服务器端加密类型。 |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 发现结果中涉及的 S3 存储桶的名称。 |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 涉及相应发现结果的 S3 存储桶的所有者的 ID。 |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 发现中涉及的 S3 存储桶的有效权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开读取访问权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开写入访问权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开读取访问权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开写入访问。 |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 发现结果中涉及的 S3 存储桶的类型。 |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 与结果关联的操作类型。 |
| detail.service.action .awsApiCallAction.api |
principal.application | 发现结果中涉及的 AWS API 调用的名称。 |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 发现结果中涉及的 AWS API 调用的调用方类型。 |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 与发现结果中涉及的 AWS API 调用关联的域名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 与发现结果中涉及的发出 AWS API 调用的远程 IP 地址关联的国家/地区名称。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 发出与发现相关的 AWS API 调用的远程 IP 地址的纬度。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 发出与发现相关的 AWS API 调用的远程 IP 地址的经度。 |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 发出与发现结果相关的 AWS API 调用的 IP 地址。 |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 发现结果中涉及的 AWS 服务的名称。 |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS 请求是否被屏蔽。 |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 与发现结果中涉及的 DNS 请求相关联的域名。 |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 发现中涉及的 DNS 请求所使用的协议。 |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | 网络连接是否被屏蔽。 |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 发现结果中涉及的网络连接的方向。 |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 网络连接中涉及的本地 IP 地址。 |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | 网络连接中涉及的本地端口。 |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 网络连接中涉及的本地端口的名称。 |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 发现项所涉及的网络连接所使用的协议。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 与网络连接中涉及的远程 IP 地址相关联的城市名称。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与网络连接中涉及的远程 IP 地址相关联的国家/地区名称。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 网络连接中涉及的远程 IP 地址。 |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | 网络连接中涉及的远程端口。 |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 网络连接中涉及的远程端口的名称。 |
| detail.service.action .portProbeAction.blocked |
security_result.action | 端口探测是否被阻止。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | 被探测的本地端口。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | 被探测的本地端口的名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | 执行端口探测的远程 IP 地址关联的城市名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | 执行端口探测的远程 IP 地址所关联的国家/地区名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 执行端口探测的远程 IP 地址的纬度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 执行端口探测的远程 IP 地址的经度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 执行端口探测的远程 IP 地址。 |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 触发检测结果的威胁列表的名称。 |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 触发相应发现结果的威胁的名称。 |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 与发现结果关联的用户代理的类别。 |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
有关发现的其他信息。 |
| detail.title | security_result.summary | 调查结果的简短标题。 |
| detail.type | metadata.product_event_type | 发现结果的类型。 |
| detail.updatedAt | metadata.event_timestamp | 上次更新发现结果的时间。 |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
触发发现结果的事件类型。 |
| 分区 | target.asset.attribute .cloud.project.type |
发现结果所涉及的 AWS 分区。 |
| resource.accessKeyDetails | principal.user | 与发现结果相关的 AWS 访问密钥的详细信息。 |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 发现结果中涉及的 AWS 访问密钥的 ID。 |
| resource.accessKeyDetails.principalId | principal.user.userid | 发现结果中涉及的 AWS 访问密钥的主账号 ID。 |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 与发现结果中涉及的 AWS 访问密钥关联的用户类型。 |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 与发现结果中涉及的 AWS 访问密钥关联的用户的名称。 |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 发现结果中涉及的 EC2 实例的可用区。 |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
用于启动发现结果中涉及的 EC2 实例的 AMI 的说明。 |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
用于启动发现结果中涉及的 EC2 实例的 AMI 的 ID。 |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 IAM 实例配置文件的 ARN。 |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 IAM 实例配置文件的 ID。 |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 发现结果中涉及的 EC2 实例的 ID。 |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 发现结果中涉及的 EC2 实例的状态。 |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 发现结果中涉及的 EC2 实例的类型。 |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 发现结果中涉及的 EC2 实例的启动时间。 |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例相关联的网络接口的 ID。 |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的网络接口的专用 DNS 名称。 |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的网络接口的公共 DNS 名称。 |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 与发现结果中涉及的 EC2 实例关联的网络接口的公共 IP 地址。 |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 与发现结果中涉及的 EC2 实例关联的网络接口的专用 IP 地址。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 与发现结果中涉及的 EC2 实例的网络接口关联的安全组的 ID。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 与发现结果中涉及的 EC2 实例的网络接口关联的安全组的名称。 |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例的网络接口相关联的子网的 ID。 |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 与发现中涉及的 EC2 实例的网络接口相关联的 VPC 的 ID。 |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 Outpost 的 ARN。 |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 发现结果中涉及的 EC2 实例的平台。 |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 与发现结果中涉及的 EC2 实例关联的产品代码类型。 |
| resource.instanceDetails.tags | target.asset.attribute.labels | 与发现结果中涉及的 EC2 实例关联的标记。 |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 相关发现所涉及的 Kubernetes 用户的用户名。 |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
发现结果中涉及的 RDS 数据库集群的标识符。 |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 发现结果中涉及的 RDS 数据库实例的 ARN。 |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 发现结果中涉及的 RDS 数据库实例的标识符。 |
| resource.rdsDbUserDetails.user | principal.user.userid | 发现中涉及的 RDS 数据库用户的用户名。 |
| resource.resourceType | target.resource.resource_subtype | 结果中涉及的资源类型。 |
| resource.s3BucketDetails | principal.resource.attribute.labels | 与发现结果相关的 S3 存储桶的详细信息。 |
| resource.s3BucketDetails.0.arn | target.resource.name | 发现结果中涉及的 S3 存储桶的 ARN。 |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 S3 存储桶的创建时间。 |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 发现中涉及的 S3 存储桶所使用的服务器端加密类型。 |
| resource.s3BucketDetails.0.name | target.resource.name | 发现结果中涉及的 S3 存储桶的名称。 |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 涉及相应发现结果的 S3 存储桶的所有者的 ID。 |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 发现中涉及的 S3 存储桶的有效权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否已启用公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开读取访问权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开写入访问权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶是否启用了公开访问权限限制。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开读取访问权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开写入访问。 |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
与发现结果中涉及的 S3 存储桶关联的标记。 |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 发现结果中涉及的 S3 存储桶的类型。 |
| service.action .actionType |
principal.group.attribute.labels.value | 与结果关联的操作类型。 |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 AWS CloudTrail 轨迹的名称。 |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 S3 存储桶的名称。 |
| service.action .awsApiCallAction.api |
principal.application | 发现结果中涉及的 AWS API 调用的名称。 |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 发现结果中涉及的 AWS API 调用的调用方类型。 |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 与发现结果中涉及的 AWS API 调用关联的域名。 |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 与发现结果中涉及的 AWS API 调用相关的错误代码。 |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与发现结果中涉及的发出 AWS API 调用的远程 IP 地址关联的国家/地区名称。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 发出与发现相关的 AWS API 调用的远程 IP 地址的纬度。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 发出与发现相关的 AWS API 调用的远程 IP 地址的经度。 |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 发出与发现结果相关的 AWS API 调用的 IP 地址。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
与发出 AWS API 调用(涉及相应发现)的远程 IP 地址关联的组织的自治系统编号 (ASN)。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
与发现结果中涉及的 AWS API 调用关联的远程 IP 地址所属组织的名称。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
与发现结果中涉及的发出 AWS API 调用的远程 IP 地址关联的互联网服务提供商 (ISP) 的名称。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
与发现结果中涉及的 AWS API 调用关联的远程 IP 地址所属组织的名称。 |
| service.action .awsApiCallAction.serviceName |
metadata.description | 发现结果中涉及的 AWS 服务的名称。 |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS 请求是否被屏蔽。 |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 与发现结果中涉及的 DNS 请求相关联的域名。 |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 发现中涉及的 DNS 请求所使用的协议。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与发现结果中涉及的发出 Kubernetes API 调用的远程 IP 地址关联的国家/地区名称。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 发现中涉及的发出 Kubernetes API 调用的远程 IP 地址的纬度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 发现中涉及的发出 Kubernetes API 调用的远程 IP 地址的经度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 发出与发现相关的 Kubernetes API 调用的 IP 地址。 |
| service.action .networkConnectionAction.blocked |
security_result.action | 网络连接是否被屏蔽。 |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 发现结果中涉及的网络连接的方向。 |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 网络连接中涉及的本地 IP 地址。 |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | 网络连接中涉及的本地端口。 |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 网络连接中涉及的本地端口的名称。 |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 发现项所涉及的网络连接所使用的协议。 |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 与网络连接中涉及的远程 IP 地址相关联的城市名称。 |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与网络连接中涉及的远程 IP 地址相关联的国家/地区名称。 |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 网络连接中涉及的远程 IP 地址。 |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | 网络连接中涉及的远程端口。 |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 网络连接中涉及的远程端口的名称。 |
| service.action .portProbeAction.blocked |
security_result.action | 端口探测是否被阻止。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | 被探测的本地端口。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | 被探测的本地端口的名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | 执行端口探测的远程 IP 地址关联的城市名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | 执行端口探测的远程 IP 地址所关联的国家/地区名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | 执行端口探测的远程 IP 地址的纬度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | 执行端口探测的远程 IP 地址的经度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 执行端口探测的远程 IP 地址。 |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | 扫描的端口示例。 |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 最近使用的凭据的列表。 |
| service.additionalInfo.sample | security_result.about .labels.value |
指示相应发现结果是否为示例发现结果。 |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 触发检测结果的威胁列表的名称。 |
| service.additionalInfo.threatName | security_result.threat_name | 触发相应发现结果的威胁的名称。 |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
与发现结果关联的用户代理的类别。 |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
有关发现的其他信息。 |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
相应发现是否已归档。 |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
相应事件发生的次数。 |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
生成相应发现结果的 GuardDuty 检测器的 ID。 |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
在 EBS 卷扫描期间检测到的威胁总数。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。