收集 AWS GuardDuty 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 資訊提供,以收集 AWS GuardDuty 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 GUARDDUTY 攝入標籤的剖析器。
事前準備
請確認您已完成下列事前準備事項:
- 建立 AWS S3 bucket。如要建立 AWS S3 bucket,請參閱「建立第一個 S3 bucket」。
- 系統會建立 KMS 金鑰。如要建立 KMS 金鑰,請參閱建立非對稱 KMS 金鑰。
- AWS GuardDuty 有權存取 KMS 金鑰。如要授予 KMS 金鑰的存取權,請參閱「匯出調查結果」。GuardDuty 會使用 AWS KMS 金鑰,加密 bucket 中的調查結果資料。
設定 AWS GuardDuty
如要設定 AWS GuardDuty,請按照下列步驟操作:
- 登入 AWS 控制台。
- 搜尋「GuardDuty」GuardDuty。
- 選取 [設定]。
在「尋找匯出選項」部分執行下列操作:
- 從「Frequency for updated findings」(更新發現項目的頻率) 清單中,選取「Update CWE and S3 every 15 minutes」(每 15 分鐘更新一次 CWE 和 S3)。選取頻率後,系統會更新調查結果。新發現會在建立後 5 分鐘匯出。
- 在「S3 bucket」部分,選取要匯出 GuardDuty 發現項目的 S3 bucket。
- 在「記錄檔前置字串」部分,提供記錄檔前置字串。
- 在「KMS encryption」(KMS 加密) 部分中,選取 KMS 加密。
- 從「金鑰別名」清單中選取金鑰。
- 按一下 [儲存]。
將記錄檔儲存在 S3 bucket 後,請建立 SQS 佇列,並將其附加至 S3 bucket。
KMS 政策範例
以下是 KMS 政策範例:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
更改下列內容:
- AWS_REGION:所選區域。
- KEY_ARN:KMS 金鑰的 Amazon 資源名稱 (ARN)。
檢查 S3、SQS 和 KMS 的必要 IAM 使用者和 KMS 金鑰政策。
根據服務和區域,參閱下列 AWS 說明文件,找出連線端點:
- 如要瞭解任何記錄來源,請參閱「AWS Identity and Access Management 端點和配額」。
- 如要瞭解 S3 記錄來源,請參閱「Amazon Simple Storage Service 端點和配額」。
- 如要瞭解 SQS 記錄來源,請參閱「Amazon Simple Queue Service 端點和配額」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 輸入資訊提供的專屬名稱。
- 選取「Amazon S3」或「Amazon SQS」做為「來源類型」。
- 選取「AWS GuardDuty」做為「記錄類型」。
- 依序點按「繼續」和「提交」。
- Google Security Operations 支援使用存取金鑰 ID 和私密方法收集記錄。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
根據您建立的 AWS GuardDuty 設定,為下列欄位指定值。
- 如果使用 Amazon S3
- 區域
- S3 URI
- URI 是
- 來源刪除選項
- 如果使用 Amazon SQS
- 區域
- 佇列名稱
- 帳戶號碼
- 佇列存取金鑰 ID
- 佇列存取密鑰
- 來源刪除選項
依序點按「繼續」和「提交」。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡
從內容中心設定動態饋給
為下列欄位指定值:
如果使用 Amazon S3:
- 區域
- S3 URI
- URI 是
- 來源刪除選項
如果使用 Amazon SQS:
- 區域
- 佇列名稱
- 帳戶號碼
- 佇列存取金鑰 ID
- 佇列存取密鑰
- 來源刪除選項
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這個剖析器程式碼會處理 JSON 格式的 AWS GuardDuty 發現項目,擷取相關欄位並對應至統一資料模型 (UDM)。這項服務會執行資料轉換作業,包括字串取代、合併陣列和轉換資料類型,以建立安全事件的結構化表示法,供分析和相互參照。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| accountId | principal.group.product_object_id | 與發現項目相關聯的 AWS 帳戶 ID。 |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | 通訊埠掃描期間掃描的通訊埠清單。 |
| additionalInfo.sample | security_result.about.labels.value | 指出該發現是否為樣本發現。 |
| additionalInfo.threatListName | security_result.threat_feed_name | 觸發發現項目的威脅清單名稱。 |
| additionalInfo.threatName | security_result.threat_name | 觸發發現項目的威脅名稱。 |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 與發現項目相關聯的完整使用者代理程式字串。 |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 與發現項目相關聯的使用者代理程式類別。 |
| arn | target.asset.attribute .cloud.project.product_object_id |
發現項目的 Amazon Resource Name (ARN)。 |
| detail.accountId | principal.group.product_object_id | 與發現項目相關聯的 AWS 帳戶 ID。 |
| detail.description | security_result.description | 發現項目的詳細說明。 |
| detail.id | target.asset.attribute.cloud.project.id | 發現事項的專屬 ID。 |
| detail.resource.accessKeyDetails | principal.user | 與發現項目相關的 AWS 存取金鑰詳細資料。 |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 與調查結果相關的 AWS 存取金鑰 ID。 |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 與發現項目相關的 AWS 存取金鑰主體 ID。 |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 與該發現項目相關聯的 AWS 存取金鑰使用者類型。 |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 與發現項目相關聯的 AWS 存取金鑰使用者名稱。 |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 與發現項目相關的 S3 值區 ARN。 |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 用於發現項目所涉 S3 bucket 的伺服器端加密類型。 |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 與發現項目相關的 S3 值區名稱。 |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 與發現項目相關的 S3 bucket 擁有者 ID。 |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 與發現項目相關的 S3 儲存貯體有效權限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存取控制清單 (ACL) 是否允許公開讀取權限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存取控制清單 (ACL) 是否允許公開寫入權限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
值區政策是否允許公開讀取權限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
值區政策是否允許公開寫入權限。 |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 發現項目涉及的 S3 儲存空間類型。 |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 與發現項目相關聯的動作類型。 |
| detail.service.action .awsApiCallAction.api |
principal.application | 發現項目中涉及的 AWS API 呼叫名稱。 |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 發出 AWS API 呼叫的呼叫者類型,與發現項目有關。 |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 與該發現項目相關的 AWS API 呼叫網域名稱。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 與遠端 IP 位址相關聯的國家/地區名稱,該 IP 位址發出與發現項目相關的 AWS API 呼叫。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 發出 AWS API 呼叫的遠端 IP 位址緯度,該呼叫與發現項目有關。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 發出 AWS API 呼叫的遠端 IP 位址經度,該呼叫與發現項目有關。 |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 發出 AWS API 呼叫的 IP 位址,該呼叫與發現項目有關。 |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 發現項目中涉及的 AWS 服務名稱。 |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS 要求是否遭到封鎖。 |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 與發現結果相關的 DNS 要求所使用的網域名稱。 |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 用於與發現項目相關 DNS 要求的通訊協定。 |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | 網路連線是否遭到封鎖。 |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 發現項目中涉及的網路連線方向。 |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 網路連線中涉及的本機 IP 位址。 |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | 網路連線中涉及的本機通訊埠。 |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 參與網路連線的本機通訊埠名稱。 |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 用於發現項目所涉網路連線的通訊協定。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 與網路連線中遠端 IP 位址相關聯的城市名稱。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 與網路連線中遠端 IP 位址相關聯的國家/地區名稱。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 網路連線中涉及的遠端 IP 位址。 |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | 網路連線中涉及的遠端通訊埠。 |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 網路連線中涉及的遠端通訊埠名稱。 |
| detail.service.action .portProbeAction.blocked |
security_result.action | 連接埠探查是否遭到封鎖。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | 探查的本機通訊埠。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | 探查的本機通訊埠名稱。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | 與執行通訊埠探查的遠端 IP 位址相關聯的城市名稱。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | 與執行通訊埠探查的遠端 IP 位址相關聯的國家/地區名稱。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 執行通訊埠探查的遠端 IP 位址緯度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 執行通訊埠探查的遠端 IP 位址經度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 執行通訊埠探查的遠端 IP 位址。 |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 觸發發現項目的威脅清單名稱。 |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 觸發發現項目的威脅名稱。 |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 與發現項目相關聯的完整使用者代理程式字串。 |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 與發現項目相關聯的使用者代理程式類別。 |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
有關發現項目的其他資訊。 |
| detail.title | security_result.summary | 調查結果的簡短標題。 |
| detail.type | metadata.product_event_type | 發現項目類型。 |
| detail.updatedAt | metadata.event_timestamp | 上次更新發現項目的時間。 |
| 詳細資料類型 | event.idm.read_only_udm .additional.fields.value.string_value |
觸發發現項目的事件類型。 |
| 分區 | target.asset.attribute .cloud.project.type |
發現結果的 AWS 分區。 |
| resource.accessKeyDetails | principal.user | 與發現項目相關的 AWS 存取金鑰詳細資料。 |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 與調查結果相關的 AWS 存取金鑰 ID。 |
| resource.accessKeyDetails.principalId | principal.user.userid | 與發現項目相關的 AWS 存取金鑰主體 ID。 |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 與該發現項目相關聯的 AWS 存取金鑰使用者類型。 |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 與發現項目相關聯的 AWS 存取金鑰使用者名稱。 |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 與發現項目相關的 EC2 執行個體可用區。 |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
用於啟動 EC2 執行個體的 AMI 說明,該執行個體與發現項目有關。 |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
用於啟動與發現項目相關 EC2 執行個體的 AMI ID。 |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體所屬 IAM 執行個體設定檔的 ARN。 |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體所屬 IAM 執行個體設定檔的 ID。 |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 與發現項目相關的 EC2 執行個體 ID。 |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體狀態。 |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 發現項目中涉及的 EC2 執行個體類型。 |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 啟動發現項目所涉 EC2 執行個體的時間。 |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體網路介面 ID。 |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體所連線網路介面的私有 DNS 名稱。 |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體所連線的網路介面公開 DNS 名稱。 |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 與發現項目中 EC2 執行個體相關聯的網路介面公開 IP 位址。 |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 與發現項目相關的 EC2 執行個體所連網路介面的私人 IP 位址。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 與發現項目相關 EC2 執行個體網路介面相關聯的安全性群組 ID。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 與發現結果中 EC2 執行個體的網路介面相關聯的安全群組名稱。 |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 與發現結果中 EC2 執行個體的網路介面相關聯的子網路 ID。 |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 與發現項目中 EC2 執行個體網路介面相關聯的 VPC ID。 |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 與發現項目相關的 EC2 執行個體所屬 Outpost 的 ARN。 |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 與發現項目相關的 EC2 執行個體平台。 |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 與發現項目相關聯的 EC2 執行個體產品代碼類型。 |
| resource.instanceDetails.tags | target.asset.attribute.labels | 與發現項目相關的 EC2 執行個體標記。 |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 與該發現項目相關的 Kubernetes 使用者名稱。 |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
與發現項目相關的 RDS 資料庫叢集 ID。 |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 與發現項目相關的 RDS 資料庫執行個體 ARN。 |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 與調查結果相關的 RDS 資料庫執行個體 ID。 |
| resource.rdsDbUserDetails.user | principal.user.userid | 與發現項目相關的 RDS 資料庫使用者名稱。 |
| resource.resourceType | target.resource.resource_subtype | 發現項目涉及的資源類型。 |
| resource.s3BucketDetails | principal.resource.attribute.labels | 與發現項目相關的 S3 儲存空間詳細資料。 |
| resource.s3BucketDetails.0.arn | target.resource.name | 與發現項目相關的 S3 值區 ARN。 |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
建立發現項目所涉 S3 值區的時間。 |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 用於發現項目所涉 S3 bucket 的伺服器端加密類型。 |
| resource.s3BucketDetails.0.name | target.resource.name | 與發現項目相關的 S3 值區名稱。 |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 與發現項目相關的 S3 bucket 擁有者 ID。 |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 與發現項目相關的 S3 儲存貯體有效權限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
帳戶是否已啟用公開存取權封鎖設定。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存取控制清單 (ACL) 是否允許公開讀取權限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存取控制清單 (ACL) 是否允許公開寫入權限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否為值區啟用公開存取權封鎖。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
值區政策是否允許公開讀取權限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
值區政策是否允許公開寫入權限。 |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
與發現項目中涉及的 S3 值區相關聯的標記。 |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 發現項目涉及的 S3 儲存空間類型。 |
| service.action .actionType |
principal.group.attribute.labels.value | 與發現項目相關聯的動作類型。 |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
與發現項目相關的 AWS CloudTrail 追蹤記錄名稱。 |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
與發現項目相關的 S3 值區名稱。 |
| service.action .awsApiCallAction.api |
principal.application | 發現項目中涉及的 AWS API 呼叫名稱。 |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 發出 AWS API 呼叫的呼叫者類型,與發現項目有關。 |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 與該發現項目相關的 AWS API 呼叫網域名稱。 |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 與該發現相關的 AWS API 呼叫錯誤代碼。 |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 與遠端 IP 位址相關聯的國家/地區名稱,該 IP 位址發出與發現項目相關的 AWS API 呼叫。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 發出 AWS API 呼叫的遠端 IP 位址緯度,該呼叫與發現項目有關。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 發出 AWS API 呼叫的遠端 IP 位址經度,該呼叫與發現項目有關。 |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 發出 AWS API 呼叫的 IP 位址,該呼叫與發現項目有關。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
與遠端 IP 位址相關聯的機構自治系統編號 (ASN),該 IP 位址發出與調查結果相關的 AWS API 呼叫。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
與遠端 IP 位址相關聯的機構名稱,該 IP 位址發出與調查結果相關的 AWS API 呼叫。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
與遠端 IP 位址相關聯的網際網路服務供應商 (ISP) 名稱,該 IP 位址發出與調查結果相關的 AWS API 呼叫。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
與遠端 IP 位址相關聯的機構名稱,該 IP 位址發出與調查結果相關的 AWS API 呼叫。 |
| service.action .awsApiCallAction.serviceName |
metadata.description | 發現項目中涉及的 AWS 服務名稱。 |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS 要求是否遭到封鎖。 |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 與發現結果相關的 DNS 要求所使用的網域名稱。 |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 用於與發現項目相關 DNS 要求的通訊協定。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 與遠端 IP 位址相關聯的國家/地區名稱,該 IP 位址發出與發現項目相關的 Kubernetes API 呼叫。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 發出 Kubernetes API 呼叫的遠端 IP 位址緯度,該呼叫與發現項目有關。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 發出 Kubernetes API 呼叫的遠端 IP 位址經度,該呼叫與發現項目有關。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 發出 Kubernetes API 呼叫的 IP 位址,與該發現項目有關。 |
| service.action .networkConnectionAction.blocked |
security_result.action | 網路連線是否遭到封鎖。 |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 發現項目中涉及的網路連線方向。 |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 網路連線中涉及的本機 IP 位址。 |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | 網路連線中涉及的本機通訊埠。 |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 參與網路連線的本機通訊埠名稱。 |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 用於發現項目所涉網路連線的通訊協定。 |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 與網路連線中遠端 IP 位址相關聯的城市名稱。 |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 與網路連線中遠端 IP 位址相關聯的國家/地區名稱。 |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 網路連線中涉及的遠端 IP 位址。 |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | 網路連線中涉及的遠端通訊埠。 |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 網路連線中涉及的遠端通訊埠名稱。 |
| service.action .portProbeAction.blocked |
security_result.action | 連接埠探查是否遭到封鎖。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | 探查的本機通訊埠。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | 探查的本機通訊埠名稱。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | 與執行通訊埠探查的遠端 IP 位址相關聯的城市名稱。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | 與執行通訊埠探查的遠端 IP 位址相關聯的國家/地區名稱。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | 執行通訊埠探查的遠端 IP 位址緯度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | 執行通訊埠探查的遠端 IP 位址經度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 執行通訊埠探查的遠端 IP 位址。 |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | 掃描的連接埠樣本。 |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 最近使用的憑證清單。 |
| service.additionalInfo.sample | security_result.about .labels.value |
指出該發現是否為樣本發現。 |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 觸發發現項目的威脅清單名稱。 |
| service.additionalInfo.threatName | security_result.threat_name | 觸發發現項目的威脅名稱。 |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 與發現項目相關聯的完整使用者代理程式字串。 |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
與發現項目相關聯的使用者代理程式類別。 |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
有關發現項目的其他資訊。 |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
調查結果是否已封存。 |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
事件發生次數。 |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
產生發現項目的 GuardDuty 偵測工具 ID。 |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS 磁碟區掃描期間偵測到的威脅總數。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。