AWS CloudTrail-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument werden die Schritte zum Konfigurieren der Aufnahme von AWS CloudTrail-Logs und Kontextdaten in Google Security Operations beschrieben. Diese Schritte gelten auch für die Aufnahme von Protokollen aus anderen AWS-Diensten wie AWS GuardDuty, AWS VPC Flow, AWS CloudWatch und AWS Security Hub.
Zur Aufnahme von Ereignisprotokollen werden die CloudTrail-Protokolle gemäß der Konfiguration an einen Amazon Simple Storage Service (Amazon S3)-Bucket weitergeleitet. Sie können entweder Amazon Simple Queue Service (Amazon SQS) oder Amazon S3 als Feedquelle auswählen.
Im ersten Teil dieses Dokuments finden Sie eine kompakte Anleitung zur Verwendung von Amazon S3 als Feedquellentyp oder vorzugsweise von Amazon S3 mit Amazon SQS als Feedquellentyp. Im zweiten Teil finden Sie eine detaillierte Anleitung mit Screenshots zur Verwendung von Amazon S3 als Feedquelle. Die Verwendung von Amazon SQS wird im zweiten Teil nicht behandelt. Im dritten Teil finden Sie Informationen zum Aufnehmen von AWS-Kontextdaten zu Hosts, Diensten, VPC-Netzwerken und Nutzern.
Grundlegende Schritte zum Aufnehmen von Protokollen aus S3 mit oder ohne SQS
In diesem Abschnitt werden die grundlegenden Schritte zum Aufnehmen von AWS CloudTrail-Logs in Ihre Google Security Operations-Instanz beschrieben. In den Schritten wird beschrieben, wie Sie dies mit Amazon S3 mit Amazon SQS als Feedquellentyp oder optional mit Amazon S3 als Feedquellentyp tun.
AWS CloudTrail und S3 konfigurieren
In diesem Verfahren konfigurieren Sie AWS CloudTrail-Protokolle so, dass sie in einen S3-Bucket geschrieben werden.
- Suchen Sie in der AWS-Konsole nach CloudTrail.
- Klicken Sie auf Weg erstellen.
- Geben Sie einen Wegnamen an.
- Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
- Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
- Sie können die anderen Einstellungen beibehalten und auf Weiter klicken.
- Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
- Prüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Trail erstellen.
- Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
- Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn für die folgenden Schritte.
SQS-Warteschlange erstellen
Wir empfehlen die Verwendung einer SQS-Warteschlange. Wenn Sie eine SQS-Warteschlange verwenden, muss es sich um eine Standardwarteschlange handeln, nicht um eine FIFO-Warteschlange.
Weitere Informationen zum Erstellen von SQS-Warteschlangen finden Sie unter Erste Schritte mit Amazon SQS.
Benachrichtigungen für Ihre SQS-Warteschlange einrichten
Wenn Sie eine SQS-Warteschlange verwenden, richten Sie Benachrichtigungen für Ihren S3-Bucket ein, um in die SQS-Warteschlange zu schreiben. Hängen Sie unbedingt eine Zugriffsrichtlinie an.
AWS IAM-Nutzer konfigurieren
Konfigurieren Sie einen AWS IAM-Nutzer, mit dem Google Security Operations sowohl auf die SQS-Warteschlange (falls verwendet) als auch auf den S3-Bucket zugreifen kann.
- Suchen Sie in der AWS Console nach IAM.
- Klicken Sie auf Nutzer und dann auf dem nächsten Bildschirm auf Nutzer hinzufügen.
- Geben Sie einen Namen für den Nutzer ein, z. B. chronicle-feed-user, wählen Sie Select AWS credential type (AWS-Anmeldedatentyp auswählen) als Access key – Programmatic access (Zugriffsschlüssel – programmatischer Zugriff) aus und klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
- Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und dann nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Protokollen löschen soll, um die AWS S3-Speicherkosten zu optimieren.
- Als empfohlene Alternative zum vorherigen Schritt können Sie den Zugriff weiter auf den angegebenen S3-Bucket beschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
- Achten Sie beim Anwenden einer Richtlinie darauf, dass Sie
sqs:DeleteMessageangegeben haben. Google Security Operations kann keine Nachrichten löschen, wenn diesqs:DeleteMessage-Berechtigung nicht mit der SQS-Warteschlange verknüpft ist. Alle Nachrichten werden auf der AWS-Seite gesammelt, was zu einer Verzögerung führt, da Google Security Operations wiederholt versucht, dieselben Dateien zu übertragen. - Klicken Sie auf Weiter:Tags.
- Fügen Sie gegebenenfalls Tags hinzu und klicken Sie auf Weiter:Überprüfen.
- Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
- Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für den nächsten Schritt.
Feed erstellen
Nachdem Sie die vorherigen Schritte ausgeführt haben, erstellen Sie einen Feed, um AWS-Protokolle aus Ihrem Amazon S3-Bucket in Ihre Google Security Operations-Instanz aufzunehmen. Wenn Sie keine SQS-Warteschlange verwenden, wählen Sie im folgenden Verfahren für den Feedquellentyp Amazon S3 anstelle von Amazon SQS aus.
So erstellst du einen Feed:
- Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen und dann Feeds aus.
- Klicken Sie auf der Seite Feeds auf Neu hinzufügen.
- Wählen Sie im Dialogfeld Feed hinzufügen im Dialogfeld Quelltyp entweder Amazon SQS oder Amazon S3 aus.
- Wählen Sie im Menü Log-Typ die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.
- Klicken Sie auf Weiter.
Geben Sie die Eingabeparameter für Ihren Feed in die Felder ein.
Wenn der Feed-Quelltyp „Amazon S3“ ist, gehen Sie so vor:Wählen Sie region aus und geben Sie den S3-URI des zuvor kopierten Amazon S3-Buckets an. Sie können den S3-URI auch mit der Variablen anhängen.
{{datetime("yyyy/MM/dd")}}s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/Wählen Sie für URI IS A die Option Verzeichnisse einschließlich Unterverzeichnisse aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Sie müssen mit den Berechtigungen des zuvor erstellten IAM-Nutzerkontos übereinstimmen.
Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des IAM-Nutzerkontos ein, das Sie zuvor erstellt haben.
Klicken Sie auf Weiter und dann auf Fertigstellen.
Detaillierte Schritte zum Aufnehmen von Protokollen aus S3
AWS CloudTrail (oder einen anderen Dienst) konfigurieren
Führen Sie die folgenden Schritte aus, um AWS CloudTrail-Protokolle zu konfigurieren und anzuweisen, dass sie in den im vorherigen Verfahren erstellten AWS S3-Bucket geschrieben werden:
- Suchen Sie in der AWS-Konsole nach CloudTrail.
Klicken Sie auf Weg erstellen.
Geben Sie einen Wegnamen an.
Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
Sie können die anderen Einstellungen beibehalten und auf Weiter klicken.
Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
Prüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Trail erstellen.
Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn für die folgenden Schritte.
AWS IAM-Nutzer konfigurieren
In diesem Schritt konfigurieren wir einen AWS IAM-Nutzer, mit dem Google Security Operations Protokollfeeds von AWS abrufen kann.
Suchen Sie in der AWS Console nach IAM.
Klicken Sie auf Nutzer und dann auf dem nächsten Bildschirm auf Nutzer hinzufügen.
Geben Sie einen Namen für den Nutzer ein, z. B. chronicle-feed-user, wählen Sie AWS-Anmeldedatentyp aus als Zugriffsschlüssel – programmatischer Zugriff und klicken Sie auf Weiter: Berechtigungen.
Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und dann nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Protokollen löschen soll, um die AWS S3-Speicherkosten zu optimieren. Klicken Sie auf Weiter:Tags.
Als empfohlene Alternative zum vorherigen Schritt können Sie den Zugriff weiter auf den angegebenen S3-Bucket beschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
Fügen Sie gegebenenfalls Tags hinzu und klicken Sie auf Weiter:Überprüfen.
Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für den nächsten Schritt.
Feed in Google Security Operations für den Import von AWS-Logs konfigurieren
- Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie als Quelltyp entweder Amazon SQS oder Amazon S3 aus.
- Wählen Sie unter Log-Typ die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.
- Klicken Sie auf Weiter.
Wählen Sie region aus und geben Sie den S3-URI des zuvor kopierten Amazon S3-Buckets an. Außerdem können Sie dem S3-URI Folgendes anhängen:
{{datetime("yyyy/MM/dd")}}Wie im folgenden Beispiel, damit Google Security Operations Logs jedes Mal nur für einen bestimmten Tag scannt:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/Wählen Sie unter URI IS A die Option Directories including subdirectories (Verzeichnisse einschließlich Unterverzeichnisse) aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Diese sollte mit den Berechtigungen des zuvor erstellten IAM-Nutzers übereinstimmen.
Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des IAM-Nutzers ein, den wir zuvor erstellt haben.
Klicken Sie auf Weiter und dann auf Fertigstellen.
Schritte zum Aufnehmen von AWS-Kontextdaten
Wenn Sie Kontextdaten zu AWS-Entitäten wie Hosts, Instanzen und Nutzern aufnehmen möchten, erstellen Sie einen Feed für jeden der folgenden Protokolltypen, sortiert nach Beschreibung und Aufnahmelabel:
- AWS EC2 HOSTS (
AWS_EC2_HOSTS) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES) - AWS EC2-VPCs (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
So erstellen Sie einen Feed für jeden dieser Logtypen:
- Wählen Sie in der Navigationsleiste Einstellungen, SIEM-Einstellungen und dann Feeds aus.
- Klicken Sie auf der Seite Feeds auf Neu hinzufügen. Das Dialogfeld Feed hinzufügen wird angezeigt.
- Wählen Sie im Menü Source type (Quelltyp) die Option Third party API (Drittanbieter-API) aus.
- Wählen Sie im Menü Log-Typ die Option AWS EC2-Hosts aus.
- Klicken Sie auf Weiter.
- Geben Sie die Eingabeparameter für den Feed in die Felder ein.
- Klicken Sie auf Weiter und dann auf Fertigstellen.
Weitere Informationen zum Einrichten eines Feeds für jeden Protokolltyp finden Sie in der folgenden Dokumentation zur Feedverwaltung:
- AWS EC2 HOSTS (
AWS_EC2_HOSTS) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES) - AWS EC2 VPCs (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Allgemeine Informationen zum Erstellen eines Feeds finden Sie im Nutzerhandbuch für die Feedverwaltung oder in der Feedverwaltung API.
Referenz für die Feldzuordnung
Dieser Parsercode verarbeitet AWS CloudTrail-Protokolle im JSON-Format. Zuerst wird die Rohprotokollnachricht extrahiert und strukturiert. Anschließend wird jeder Datensatz im Array „Records“ durchgegangen und einzelne Ereignisse in dasselbe Format wie mehrere Ereignisse normalisiert. Schließlich werden die extrahierten Felder dem UDM-Schema von Google Security Operations zugeordnet, wodurch die Daten um zusätzlichen Kontext und sicherheitsrelevante Informationen ergänzt werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Records.0.additionalEventData .AuthenticationMethod |
additional.fields .AuthenticationMethod.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .CipherSuite |
additional.fields .CipherSuite.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .LoginTo |
additional.fields .LoginTo.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .MFAUsed |
extensions.auth.auth_details | Wenn der Wert „Ja“ lautet, wird das UDM-Feld auf „MFAUsed: Yes“ gesetzt. Andernfalls wird „MFAUsed: No“ (MFA verwendet: Nein) festgelegt. |
| Records.0.additionalEventData .MobileVersion |
additional.fields .MobileVersion.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .SamlProviderArn |
additional.fields .SamlProviderArn.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .SignatureVersion |
additional.fields .SignatureVersion.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.additionalEventData .bytesTransferredIn |
network.received_bytes | Direkte Zuordnung aus dem Rohlogfeld, in eine unge signed integer umgewandelt. |
| Records.0.additionalEventData .bytesTransferredOut |
network.sent_bytes | Direkte Zuordnung aus dem Rohlogfeld, in eine unge signed integer umgewandelt. |
| Records.0.additionalEventData .x-amz-id-2 |
additional.fields .x-amz-id-2.value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.awsRegion | principal.location.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.awsRegion | target.location.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.errorCode | security_result.rule_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.errorMessage | security_result.description | Das UDM-Feld ist auf „Grund: " mit dem Wert aus dem Feld „Raw Log“ verknüpft. |
| Records.0.eventCategory | security_result.category_details | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.eventID | metadata.product_log_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.eventName | metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.eventName | _metadata.event_type | Zuordnung basierend auf dem Wert des Rohlogs. Im Parsercode finden Sie bestimmte Zuordnungen. |
| Records.0.eventSource | target.application | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.eventSource | metadata.ingestion_labels.EventSource | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.eventTime | metadata.event_timestamp | Direkte Zuordnung aus dem Rohprotokollfeld, geparst als ISO 8601-Zeitstempel. |
| Records.0.eventVersion | metadata.product_version | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.managementEvent | additional.fields.ManagementEvent .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.readOnly | additional.fields.ReadOnly .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.recipientAccountId | principal.user.group_identifiers | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.recipientAccountId | target.resource.attribute .labels.Recipient Account Id.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestID | target.resource.attribute .labels.Request ID.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters | target.resource.attribute .labels |
Verschiedene Felder in „requestParameters“ werden Labels im Zielressourcenattribut zugeordnet. Im Parsercode finden Sie bestimmte Zuordnungen. |
| Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters.accessKeyId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.allocationId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.associationId | target.resource.attribute .labels.requestParameters associationId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.certificateId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .configurationRecorder.name |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .configurationRecorderName |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .createVolumePermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .createVolumePermission.add.items.0.userId |
target.resource.attribute .labels.Add Items UserId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .createVolumePermission.remove.items.0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.detectorId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.destinationId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.directoryId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.documentName | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.egress | target.resource.attribute .labels.requestParameters egress.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.emailIdentity | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.enabled | target.resource.attribute .labels.Request Enabled.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value |
target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.functionName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .granteePrincipal |
principal.hostname | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .granteePrincipal |
principal.asset.hostname | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.groupId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.groupName | target.group.group_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.imageId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.instanceId | target.resource_ancestors.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .instanceProfileName |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.instanceType | target.resource.attribute .labels.Instance Type.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .instancesSet.items.0.instanceId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .instancesSet.items.0.maxCount |
target.resource.attribute .labels.Instance Set Max Count.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .instancesSet.items.0.minCount |
target.resource.attribute .labels.Instance Set Min Count.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp |
target.resource.attribute .labels.ipPermissions cidrIp.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.keyId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters. launchPermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn |
target.resource.attribute.labels .Add Items OrganizationalUnitArn .value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters. launchPermission.add.items .0.userId |
target.resource.attribute .labels.Add Items UserId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn |
target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters. launchPermission.remove.items .0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.loadBalancerArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.logGroupIdentifier | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.logGroupName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.name | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.name | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.networkAclId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .networkInterfaceId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.parentId | target.resource_ancestors.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.policyArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .policyArns.0.arn |
target.resource.attribute .labels.Policy ARN 0.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .policyArns.1.arn |
target.resource.attribute .labels.Policy ARN 1.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.policyName | target.resource.attribute .permissions.name |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.policyName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.principalArn | principal.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.publicKeyId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.RegionName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.RegionName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.roleName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.sAMLProviderArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.secretId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.serialNumber | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .serviceSpecificCredentialId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.sendingEnabled | target.resource.attribute .labels.Request Sending Enabled.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.requestParameters.snapshotId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.sSHPublicKeyId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.stackName | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.status | target.resource.attribute .labels.Request Parameter Status.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.subnetId | target.resource.attribute .labels.Subnet Id.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .targets.0.InstanceIds |
target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters .targets.0.key |
target.resource.attribute .labels.requestParameters.targets.0.key.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.trailName | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.userName | target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.volumeId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.requestParameters.withDecryption | security_result.detection_fields .withDecryption.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.responseElements | target.resource.attribute.labels | Verschiedene Felder in „responseElements“ werden Labels im Attribut „targetResource“ zugeordnet. Im Parsercode finden Sie bestimmte Zuordnungen. |
| Records.0.responseElements.accessKey.accessKeyId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.accessKey.status | target.resource.attribute .labels.Response Access Key Status.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.accessKey.userName | target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.allocationId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .certificate.certificateId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .certificate.status |
target.resource.attribute .labels.Certificate Status.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .certificate.userName |
target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .credentials.accessKeyId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .credentials.sessionToken |
security_result.detection_fields .sessionToken.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createAccountStatus.accountId |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createCollectionDetail.arn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .createCollectionDetail.id |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .deleteCollectionDetail.id |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.description | target.resource.attribute .labels.Response Elements Description.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.destinationId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.detectorId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.directoryId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .domainStatus.aRN |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .domainStatus.domainId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .federatedUser.arn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .federatedUser.federatedUserId |
target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .firewall.firewallArn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .firewall.firewallId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .firewall.firewallName |
target.resource.attribute .labels.Firewall Name.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .flowLogIdSet.item |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.functionArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .group.arn |
target.group.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .group.groupName |
target.group.group_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .image.imageId.imageDigest |
src.file.sha256 | Das UDM-Feld wird auf den Wert nach „sha256:“ im Feld „Raw-Log“ festgelegt. |
| Records.0.responseElements .image.imageManifestMediaType |
src.file.mime_type | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.instanceArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .instanceProfile.arn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .instancesSet.items.0.instanceId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.keyId | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .keyMetadata.arn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .keyMetadata.encryptionAlgorithms |
security_result.detection_fields .encryptionAlgorithm.value |
Das UDM-Feld wird auf den Wert jedes Elements im Array aus dem Rohprotokollfeld festgelegt. |
| Records.0.responseElements .keyMetadata.keyId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.keyPairId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .listeners.0.listenerArn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .listeners.0.loadBalancerArn |
target.resource.ancestors.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .loadBalancers.0.loadBalancerArn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.newAssociationId | target.resource.attribute.labels .responseElements newAssociationId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.packedPolicySize | security_result.detection_fields .packedPolicySize.value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.0.responseElements .publicKey.publicKeyId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.sAMLProviderArn | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .sSHPublicKey.sSHPublicKeyId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .sSHPublicKey.status |
target.resource.attribute .labels.SSH Public Key Status.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .securityGroupRuleSet.items.0.groupId |
security_result.rule_labels.Group Id.value | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol |
network.ip_protocol | Direkte Zuordnung aus dem Rohlogfeld, in Großbuchstaben umgewandelt. |
| Records.0.responseElements .securityGroupRuleSet.items.0.isEgress |
network.direction | Wenn der Wert „false“ ist, wird das UDM-Feld auf „INBOUND“ gesetzt. Andernfalls wird „OUTBOUND“ festgelegt. |
| Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId |
security_result.rule_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .serviceSpecificCredential.serviceName |
target.resource.attribute.labels .Specific Credential ServiceName .value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .serviceSpecificCredential.serviceUserName |
target.resource.attribute.labels .Specific Credential Service UserName .value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .serviceSpecificCredential.status |
target.resource.attribute .labels.Specific Credential Status.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .serviceSpecificCredential.userName |
target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.snapshotId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.stackId | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .tableDescription.tableArn |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .tableDescription.tableId |
target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.trailARN | target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .user.arn |
target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .user.userId |
target.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .user.userName |
target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements .virtualMFADevice.serialNumber |
target.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.responseElements.volumeId | target.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.resources | target.resource | Das erste Element im Ressourcen-Array wird der Zielressource zugeordnet. Andere Elemente werden dem Feld „Info“ zugeordnet. |
| Records.0.sharedEventID | additional.fields.SharedEventID .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.sourceIPAddress | principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.sourceIPAddress | principal.ip | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.sourceIPAddress | src_ip | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.tlsDetails.cipherSuite | network.tls.cipher | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.tlsDetails.clientProvidedHostHeader | security_result.detection_fields .clientProvidedHostHeader.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.tlsDetails.tlsVersion | network.tls.version | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userAgent | network.http.user_agent | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userAgent | network.http.parsed_user_agent | Direkte Zuordnung aus dem Rohprotokollfeld, das als User-Agent-String geparst wird. |
| Records.0.userIdentity.accessKeyId | additional.fields.accessKeyId .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.accountId | principal.resource.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.accountId | principal.user.group_identifiers | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.arn | principal.resource.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.arn | principal.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.arn | target.user.attribute .labels.ARN.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.invokedBy | principal.user.userid | Das UDM-Feld wird auf den Wert vor „.amazonaws.com“ im Feld „Raw Log“ gesetzt. |
| Records.0.userIdentity.principalId | principal.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.principalId | principal.user.attribute .labels.principalId.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated |
principal.user.attribute .labels.mfaAuthenticated.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity .sessionContext.sessionIssuer.arn |
target.user.attribute .labels.ARN.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity .sessionContext.sessionIssuer.principalId |
target.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity .sessionContext.sessionIssuer.type |
target.user.attribute .labels.Type.value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity .sessionContext.sessionIssuer.userName |
target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.type | principal.resource.resource_subtype | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.type | principal.resource.type | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.userName | principal.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.userName | src.user.userid | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.userName | src.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.0.userIdentity.userName | target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .AuthenticationMethod |
additional.fields.AuthenticationMethod .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .CipherSuite |
additional.fields.CipherSuite .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .LoginTo |
additional.fields.LoginTo .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .MFAUsed |
extensions.auth.auth_details | Wenn der Wert „Ja“ lautet, wird das UDM-Feld auf „MFAUsed: Yes“ gesetzt. Andernfalls wird „MFAUsed: No“ (MFA verwendet: Nein) festgelegt. |
| Records.1.additionalEventData .MobileVersion |
additional.fields.MobileVersion .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .SamlProviderArn |
additional.fields.SamlProviderArn .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .SignatureVersion |
additional.fields.SignatureVersion .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.additionalEventData .bytesTransferredIn |
network.received_bytes | Direkte Zuordnung aus dem Rohlogfeld, in eine unge signed integer umgewandelt. |
| Records.1.additionalEventData .bytesTransferredOut |
network.sent_bytes | Direkte Zuordnung aus dem Rohlogfeld, in eine unge signed integer umgewandelt. |
| Records.1.additionalEventData .x-amz-id-2 |
additional.fields.x-amz-id-2 .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.awsRegion | principal.location.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.awsRegion | target.location.name | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.errorCode | security_result.rule_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.errorMessage | security_result.description | Das UDM-Feld ist auf „Grund: " mit dem Wert aus dem Feld „Raw Log“ verknüpft. |
| Records.1.eventCategory | security_result.category_details | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.eventID | metadata.product_log_id | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.eventName | metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.eventName | _metadata.event_type | Zuordnung basierend auf dem Wert des Rohlogs. Im Parsercode finden Sie bestimmte Zuordnungen. |
| Records.1.eventSource | target.application | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.eventSource | metadata.ingestion_labels.EventSource | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.eventTime | metadata.event_timestamp | Direkte Zuordnung aus dem Rohprotokollfeld, geparst als ISO 8601-Zeitstempel. |
| Records.1.eventVersion | metadata.product_version | Direkte Zuordnung aus dem Rohlogfeld. |
| Records.1.managementEvent | additional.fields.ManagementEvent .value.string_value |
Direkte Zuordnung aus dem Rohlogfeld, in einen String umgewandelt. |
| Records.1.readOnly | additional.fields.ReadOnly .value |
Änderungen
2024-07-30
- Die Zuordnung von „src_ip“ und „event_type“ zum Parsen der neuen Protokolle wurde korrigiert.
2024-07-29
- Fehlerkorrektur:
- Wenn „eventName“ „GetLoginProfile“ ist, wird „metadata.event_type“ mit „RESOURCE_READ“ abgeglichen.
2024-07-24
- Die Zuordnung von „recipientAccountId“ zu „additional.fields“ wurde in „userIdentity.accountId“ geändert.
2024-07-23
- „alert_emails“ und „owner_names“ wurden auf „target.resource.attribute.labels“ zugeordnet.
2024-07-09
- „eventVersion“ wurde mit „metadata.product_version“ abgeglichen.
- „userIdentity.principalId“ wurde in „principal.user.attribute.labels“ geändert.
- „userIdentity.sessionContext.attributes.creationDate“ wurde in „principal.user.attribute.creation_time“ umgewandelt.
- „userIdentity.sessionContext.sessionIssuer.type“ wurde in „target.user.attribute.labels“ umgewandelt.
- „additionalEventData.bytesTransferredIn“ wurde in „network.received_bytes“ umgewandelt.
- „additionalEventData.bytesTransferredOut“ wurde in „network.sent_bytes“ umgewandelt.
- „managementEvent“, „readOnly“, „sharedEventID“, „apiVersion“, „additionalEventData.x-amz-id-2“, „additionalEventData.SignatureVersion“, „additionalEventData.AuthenticationMethod“, „additionalEventData.CipherSuite“ und „additionalEventData.sub“ wurden in „additional.fields“ zugeordnet.
2024-06-24
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
2024-06-24
- Die Zuordnung von „principal.resource.type“ zu „principal.resource.resource_subtype“ wurde aktualisiert, da das Feld „principal.resource.type“ eingestellt wurde.
2024-05-21
- Wenn „requestParameters.bucketPolicy.Statement.n.Resource“ ein Array ist, wird „requestParameters.bucketPolicy.Statement.n.Resource“ auf „additional.fields“ zugeordnet.
2024-05-09
- Der Teil „groupid“ von „principal.user.userid“ wurde in „principal.user.groupid“ und „principal.user.group_identifiers“ zugeordnet, wenn „userid“ dem Format „^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$“ entspricht.
2024-04-30
- „req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress“ wurde in „target.resource.attribute.labels“ umgewandelt.
2024-03-22
- „Noun.user.userid“ wurde in „Noun.user.product_object_id“ überführt.
- „RoleName“ von „userIdentity.arn“ wurde zu „principal.user.role_name“ und „principal.user.attribute.roles.name“ zugeordnet.
- „PolicyName“ von „requestParameters.policyArn“ wurde in „security_result.rule_name“ geändert.
2024-03-04
- Für Protokolle mit „eventName“ als „TerminateInstances“:
- Das JSON-Objekt „responseElements“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „sessionCredentialFromConsole“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- Für Protokolle, bei denen „eventName“ „CreateDomain“, „DeleteDomain“ oder „CreateCollection“ ist,
- „DeleteCollection“, „CreateDBCluster“, „DeleteDBCluster“, „StopDBCluster“, „StartDBCluster“,
- „CreateCluster“, „DeleteCluster“, „ListClusters“, „CreateNodegroup“, „DeleteNodegroup“,
- „RegisterCluster“, „DeregisterCluster“, „DescribeCluster“, „DescribeNodegroup“ und „ListNodegroups“.
- Legen Sie „target.resource.resource_type“ auf „CLUSTER“ fest.
2023-11-21
- „awsRegion“ wurde „target.location.name“ zugeordnet.
- Wenn „userIdentity.arn“ nicht vorhanden ist, ändern Sie für Protokolle mit „eventName“ als „PutBucketAcl“ den Wert „metadata.event_type“ in „STATUS_UPDATE“.
- Für Protokolle mit „eventName“ als Präfix „Get“, „List“, „Describe“, „Detect“, „Query“, „Check“, „Decode“,
- „Entschlüsseln“, „Herunterladen“, „Abrufen“, „Lesen“, „Entdecken“, „Suchen“, „Vorschau anzeigen“, „Scannen“, „Auswählen“, „Klassifizieren“, „Anzeigen“, „Ansicht“:
- Legen Sie „metadata.event_type“ auf „RESOURCE_READ“ fest.
- Für Protokolle mit „eventName“ als Präfix „Delete“ oder „Terminate“:
- Legen Sie „metadata.event_type“ auf „RESOURCE_DELETION“ fest.
- Für Protokolle mit „eventName“ als Präfix „Create“, „Put“, „Import“, „Generate“ oder „Allocate“:
- Legen Sie „metadata.event_type“ auf „RESOURCE_CREATION“ fest.
- Für Protokolle mit dem Präfix „eventName“ und „Start“, „Activate“, „Reboot“, „Initialize“ oder „New“:
- Legen Sie „metadata.event_type“ auf „STATUS_STARTUP“ fest.
- Für Protokolle mit „eventName“ als Präfix „Stop“, „Cancel“ oder „Disconnect“:
- Legen Sie „metadata.event_type“ auf „STATUS_SHUTDOWN“ fest.
- Für Protokolle mit „eventName“ als Präfix „Test“, „Accept“, „Notify“, „Request“, „Validate“, „Confirm“, „Reject“, „Verify“, „Authorize“, „Complete“:
- Legen Sie „metadata.event_type“ auf „STATUS_UPDATE“ fest.
- Für Protokolle mit dem Präfix „eventName“ und „Assume“ oder „ConsoleLogin“:
- Legen Sie „metadata.event_type“ auf „USER_LOGIN“ fest.
- Für Protokolle mit „eventName“ als „SendHeartbeat“:
- Lege „metadata.event_type“ auf „STATUS_HEARTBEAT“ fest.
- Für Protokolle mit dem Präfix „eventName“ und „Initiate“, „Publish“, „Replace“, „Resume“, „Run“, „Submit“ oder „Suspend“
- „Ändern“, „Erhöhen“, „Einladen“, „Bereitstellen“, „Aktualisieren“, „Melden“, „Upgrade“, „Abbrechen“, „Übernehmen“, „Sichern“, „Verringern“,
- „Zusammenführen“, „Noch einmal versuchen“, „Drehen“, „Drehung“, „Übertragen“, „Zuweisung aufheben“, „Analysieren“, „Archivieren“, „Beta_“, „Löschen“, „Konfigurieren“,
- „Confirm_“, „Do“, „Evaluate“, „Failover“, „Forgot“, „Lock“, „Migrate“, „O“, „Process“, „Promote“, „Release“, „Renew“,
- „Unterzeichnen“, „Archivierung aufheben“, „Einstufung als veraltet aufheben“, „Entsperren“, „Bestätigen“, „Genehmigen“, „Verbinden“, „Weiter“, „Ablehnen“, „Bereitstellen“,
- „Diagnose“, „Drop“, „Exit“, „Finalize“, „Flush“, „Forget“, „Grant“, „Issue“, „Logout“, „Move“, „Opt“, „Pause“,
- „Neu erstellen“, „Einlösen“, „Replikieren“, „Neu starten“, „S“, „Speichern“, „Abonnieren“, „Synchronisieren“, „Verknüpfung aufheben“, „Abo kündigen“, „Sperrung aufheben“,
- „Allow“ (Zulassen), „Ato“, „Back“ (Zurück), „Backtrack“ (Zurückverfolgen), „Bid“ (Bieten), „Bind“ (Verknüpfen), „Build“ (Erstellen), „Bundle“ (Bündeln), „Clone“ (Klonen), „Close“ (Schließen), „Cognito“, „Console“ (Konsole), „Dispose“ (Entfernen),
- „Verknüpfung aufheben“, „Ende“, „Registrieren“, „Eingeben“, „Umgebung“, „Ereignis_“, „Ausschließen“, „Global“, „Einschließen“, „Index“, „Einfügen“, „Installieren“,
- „Invalidate“ (Ungültig machen), „Join“ (Beitreten), „Leave“ (Verlassen), „Load“ (Laden), „Managed“ (Verwaltet), „Mark“ (Markieren), „Monitor“ (Überwachen), „Peer“ (Peer), „Persist“ (Beibehalten), „Prepare“ (Vorbereiten), „Pubkey“ (Pubkey), „Purge“ (Löschen), „Push“ (Push),
- „Rebalance“, „Record“, „Recovery“, „Redact“, „Refuse“, „Reinvite“, „Reload“, „Rename“, „Respond“, „Resync“, „Retire“, „Reverse“,
- „Rollback“, „Schedule“, „Secret“, „Shutdown“, „Signal“, „Skip“, „Split“, „Stream“, „Swap“, „Switch“, „Toggle“, „Token_“,
- „Übersetzen“, „Zuschneiden“, „Autorisierung aufheben“, „Bereitstellung aufheben“, „Überwachung aufheben“, „Peering aufheben“, „Verwenden“:
- Legen Sie „metadata.event_type“ auf „RESOURCE_WRITTEN“ fest.
- Für Protokolle mit „eventName“ als Präfix „Aktualisieren“, „Verknüpfen“, „Verknüpfung aufheben“, „Ändern“, „Festlegen“, „Registrieren“, „Abmelden“,
- „Hinzufügen“, „Entfernen“, „Aktivieren“, „Deaktivieren“, „Senden“, „Wiederherstellen“, „Zurücksetzen“, „Anhängen“, „Trennen“, „Exportieren“, „Kopieren“, „Taggen“,
- „Tag entfernen“, „Ausführen“, „Kaufen“, „Zuweisen“, „Deaktivieren“, „Posten“, „Noch einmal senden“, „Hochladen“, „Zuweisen“, „Ändern“, „Definieren“,
- „Veraltet“, „Aufrufen“, „Widerrufen:
- Legen Sie „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest.
2023-11-11
- Initialisieren Sie Variablen mit „null“ oder „leer“, um doppelte Zuordnungen zu vermeiden.
- Wenn „requestParameters.tagSpecificationSet.items.key“ den Wert „Hostname“ hat, ordnen Sie „target.hostname“ zu.
2023-10-27
- Für Protokolle mit „eventName“ als „AssociateIamInstanceProfile“:
- „responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.name“ umgewandelt.
- „responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.product_object_id“ umgewandelt.
- Legen Sie „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest.
- Legen Sie „target.resource.resource_type“ auf „ACCESS_POLICY“ fest.
- Für Protokolle mit „eventName“ als „DisassociateIamInstanceProfile“:
- „responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.name“ umgewandelt.
- „responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.product_object_id“ umgewandelt.
- Legen Sie „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest.
- Legen Sie „target.resource.resource_type“ auf „ACCESS_POLICY“ fest.
- Für Protokolle mit „eventName“ als „ReplaceIamInstanceProfileAssociation“:
- „responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.name“ umgewandelt.
- „responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid“ wurde in „target.resource.product_object_id“ umgewandelt.
- Legen Sie „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest.
- Legen Sie „target.resource.resource_type“ auf „ACCESS_POLICY“ fest.
- Die JSON-Objekte „requestParameters“ und „responseElements“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- Tippfehler bei „req.userIdentity.userName“ von „req.userIdentity.username“ korrigiert.
2023-10-13
- Für Protokolle mit „UpdateDetector“ als „eventName“:
- „requestParameters.features.name“ und „requestParameters.features.status“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- Für Protokolle mit „SendCommand“ als „eventName“:
- „requestParameters.documentName“ wurde in „target.resource.product_object_id“ umgewandelt.
- „responseElements.command.commandId“ wurde in „target.process.product_specific_object.id“ umgewandelt.
- „metadata.event_type“ wurde „PROCESS_LAUNCH“ zugeordnet.
- „requestParameters.documentName“ wurde „target.resource.name“ zugeordnet.
- Alle Parameter in „requestParameters“ und „responseElements“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- Weisen Sie bei Protokollen mit „eventName“ als „createAccountResult“ „event_type“ die Kennzeichnung „USER_RESOURCE_ACCESS“ zu.
- Weisen Sie Protokollen mit „eventName“ als „createAccount“ den „event_type“ als „RESOURCE_CREATION“ zu.
2023-09-30
- Fügen Sie neue Zuordnungen für die folgenden Felder hinzu:
- „req.requestParameters.durationSeconds“ wurde in „target.resource.attribute.labels“ umgewandelt.
- „req.requestParameters.policyArns“ wurde in „target.resource.attribute.labels“ umgewandelt.
- Für Protokolle mit „eventName“ als „GetParameter“, „GetParameters“, „GetParameterHistory“, „GetParametersByPath“ oder „DescribeParameters“:
- „metadata.event_type“ wurde auf „RESOURCE_READ“ zugeordnet.
- „req.requestParameters.withDecryption“ wurde in „security_result.detection_fields“ umgewandelt.
- Legen Sie für Protokolle mit „eventName“ als „DeleteParameters“ oder „DeleteParameter“ „metadata.event_type“ auf „RESOURCE_DELETION“ fest.
- Legen Sie für Protokolle mit „eventName“ als „PutParameter“ „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest.
- Legen Sie für Protokolle mit „eventName“ als „EnableRegion“ oder „DisableRegion“ „target.resource.name“ aus „req.requestParameters.map.RegionName“ fest.
- Für Protokolle mit „eventName“ als „GetFederationToken“:
- „metadata.event_type“ wurde in „RESOURCE_READ“ geändert.
- „req.responseElements.federatedUser.arn“ wurde in „target.resource.name“ umgewandelt.
- „req.responseElements.federatedUser.federatedUserId“ wurde in „target.user.userid“ umgewandelt.
- „req.responseElements.packedPolicySize“ wurde in „security_result.detection_fields“ umgewandelt.
- „req.responseElements.credentials.sessionToken“ wurde in „security_result.detection_fields“ zugeordnet.
2023-09-15
- Fügen Sie neue Zuordnungen für die folgenden Felder hinzu:
- „requestParameters.userName“ wurde in „target.user.user_display_name“ umgewandelt.
- „additionalEventData.SamlProviderArn“ wurde auf „additional.fields“ zugeordnet.
- „eventSource“ wurde in „metadata.ingestion_labels“ geändert.
- Wenn der Wert von „requestParameters.tagSpecificationSet.items.tags.key“ „Name“ ist, wird „requestParameters.tagSpecificationSet.items.tags.value“ mit „target.resource.name“ abgeglichen.
2023-08-24
- Für Protokolle mit „eventName“ als „CreateFirewall“ und „DeleteFirewall“:
- „responseElements.firewallARN“ wurde „target.resource.name“ zugeordnet.
- „responseElements.firewallId“ wurde in „target.resource.product_object_id“ umgewandelt.
- „responseElements.firewallName“ wurde in „target.resource.attribute.labels“ umgewandelt.
- „target.resource_subtype“ wurde als „Firewall“ zugeordnet.
- „target.resource.resource_type“ wurde als „FIREWALL_RULE“ zugeordnet.
2023-08-24
- Legen Sie für Protokolle mit „eventName“ als „CreateSubnet“ „metadata.event_type“ auf „RESOURCE_CREATION“ fest.
- „req.responseElements.subnet.subnetId“ wurde in „target.resource.attribute.labels“ umgewandelt.
- „req.requestParameters.cidrBlock“ wurde in „target.resource.attribute.labels“ umgewandelt.
- Legen Sie für Protokolle mit „eventName“ als „DeleteSubnet“ „metadata.event_type“ auf „RESOURCE_DELETION“ fest.
- „req.requestParameters.subnetId“ wurde in „target.resource.attribute.labels“ umgewandelt.
2023-08-16
- Bei Protokollen mit „eventName“ als „DeleteSecret“ wurde „responseElements.arn“ mit „target.resource.name“ verknüpft.
2023-08-02
- Bei Protokollen mit „eventName“ als „CreateTags“ wurde „metadata.event_type“ auf „RESOURCE_WRITTEN“ zugeordnet.
- „responseElements.description“, „requestParameters.name“, „requestParameters.tagSet.items“ und „requestParameters.attributeType“ wurden in „target.resource.attribute.labels“ umgewandelt.
- Legen Sie „metadata.event_type“ auf „RESOURCE_CREATION“ fest, wenn die Protokolle folgende „eventName“-Werte haben:
- „CreateNetworkAcl“, „CreateVolume“, „CreatePublishingDestination“, „CreateIPSet“, „CreateThreatIntelSet“,
- „CreateAddon“, „CreateRepository“, „CreateStack“, „CreateDomain“, „CreateCollection“, „CreateTable“,
- „CreateDBInstance“, „CreateDBCluster“, „CreateDBSnapshot“, „CreateDBClusterSnapshot“, „PutConfigRule“,
- „PutDeliveryChannel“, „CreateListener“, „CreateLoadBalancer“, „PutLoggingConfiguration“, „CreateTargetGroup“,
- „CreateWebACL“, „RequestCertificate“, „CreateCluster“
- Legen Sie „metadata.event_type“ für Protokolle mit dem folgenden „eventName“ auf „RESOURCE_WRITTEN“ fest:
- „MoveAccount“, „PutEventSelectors“, „PutInsightSelectors“, „UpdateIPSet“, „UpdateThreatIntelSet“, „CreateTags“,
- „UpdateTable“, „ModifyDBInstance“, „StopDBInstance“, „StartDBInstance“, „RebootDBInstance“,
- „StartDBCluster“, „StopDBCluster“, „ModifyDBSnapshotAttribute“, „ModifyDBClusterSnapshotAttribute“,
- „AddListenerCertificates“, „ModifyLoadBalancerAttributes“, „SetSubnets“, „SetSecurityGroups“,
- „ModifyListener“, „UpdateWebACL“, „ResendValidationEmail“, „ModifyInstanceAttribute“,
- „StopInstances“, „StartInstances“, „RebootInstances“
- Legen Sie „metadata.event_type“ für Protokolle mit dem folgenden „eventName“ auf „RESOURCE_WRITTEN“ fest.
- „DeletePublishingDestination“, „DeleteIPSet“, „DeleteThreatIntelSet“, „DeleteRepository“,
- „DeleteStack“, „DeleteCollection“, „DeleteDomain“, „DeleteTable“, „DeleteDBInstance“, „DeleteDBCluster“,
- „DeleteDBSnapshot“, „DeleteDBClusterSnapshot“, „DeleteConfigRule“, „DeleteEvaluationResults“,
- „DeleteTargetGroup“, „DeleteLoadBalancer“, „DeleteListener“, „DeleteLoggingConfiguration“,
- „DeleteWebACL“, „DeleteCertificate“, „DeleteCluster“
- Legen Sie „metadata.event_type“ auf „RESOURCE_PERMISSIONS_CHANGE“ fest, wenn die Protokolle folgende „eventName“-Werte haben:
- „AssociateWebACL“, „DisassociateWebACL“, „AttachGroupPolicy“, „PutBucketAcl“
- Legen Sie „metadata.event_type“ auf „RESOURCE_READ“ fest für Protokolle mit dem folgenden „eventName“:
- „GetPasswordData“, „GetSessionToken“
- „target.resource.resource_type“ und andere nicht zugeordnete Felder für die oben genannten Ereignisnamen
2023-07-18
- Für Protokolle mit dem folgenden „eventName“ wurde „metadata.event_type“ auf „RESOURCE_CREATION“ zugeordnet.
- „EnableMacie“, „ConnectDirectory“, „RunInstances“, „CreateImage“, „CreateOrganization“, „CreateNetworkInterface“,
- „StartSSO“, „CreateEmailIdentity“, „VerifyDomainIdentity“, „VerifyDomainDkim“, „VerifyEmailIdentity“,
- „CreateConfigurationSet“, „CreateSecret“, „ImportKeyPair“, „CreateAlias“, „CreateKey“, „CreateOrganizationalUnit“,
- „CreateNetworkAcl“, „CreateVolume“, „CreatePublishingDestination“, „CreateIPSet“, „CreateThreatIntelSet“
- Für Protokolle mit dem folgenden „eventName“ wurde „metadata.event_type“ mit „RESOURCE_WRITTEN“ abgeglichen.
- „UpdateMacieSession“, „PutAccountSendingAttributes“, „PutConfigurationSetSendingOptions“, „UpdateAccountSendingEnabled“,
- „UpdateConfigurationSetSendingEnabled“, „UpdateSecret“, „DisableKey“, „EnableKey“, „CancelKeyDeletion“,
- „MoveAccount“, „PutEventSelectors“, „PutInsightSelectors“, „UpdateIPSet“, „UpdateThreatIntelSet“
- Für Protokolle mit dem folgenden „eventName“ wurde „metadata.event_type“ mit „RESOURCE_DELETION“ abgeglichen.
- „DeleteSnapshot“, „DeleteDetector“, „DeleteFlowLogs“, „DeregisterImage“, „TerminateInstances“, „RESOURCE_DELETION“,
- „DeleteNetworkInterface“, „DeleteSSO“, „DeleteBucketPublicAccessBlock“, „DeleteAccountPublicAccessBlock“,
- „RemoveAccountFromOrganization“, „DeleteEmailIdentity“, „LeaveOrganization“, „DeleteConfigurationSet“,
- „DeleteSecret“, „DeleteKeyPair“, „DeleteAlias“, „ScheduleKeyDeletion“, „DeleteNetworkAcl“,
- „DeletePublishingDestination“, „DeleteIPSet“, „DeleteThreatIntelSet“
- Für Protokolle mit dem folgenden „eventName“ wurde „metadata.event_type“ mit „RESOURCE_PERMISSIONS_CHANGE“ verknüpft.
- „DetachRolePolicy“, „PutRolePolicy“, „PutResourcePolicy“, „PutCredentials“, „DeleteDirectory“,
- „AuthorizeSecurityGroupEgress“, „AuthorizeSecurityGroupIngress“, „RevokeSecurityGroupEgress“, „RevokeSecurityGroupIngress“,
- „ModifySnapshotAttribute“, „ModifyImageAttribute“, „CreateNetworkAclEntry“, „ReplaceNetworkAclAssociation“, „DeleteNetworkAclEntry“
- „target.resource.resource_type“ und andere nicht zugeordnete Felder für die oben genannten Ereignisnamen wurden zugeordnet.
- Vor dem Zuordnen des Felds „userIdentity.invokedBy“ wurde eine Null-Prüfung hinzugefügt.
2023-07-06
- Vor dem Zuordnen des Felds „userIdentity.invokedBy“ wurde eine Null-Prüfung hinzugefügt.
- „requestParameters.instanceType“, „requestParameters.instancesSet.items.0.minCount“ und „requestParameters.instancesSet.items.0.maxCount“ wurden in „target.resource.attribute.labels“ umgewandelt.
2023-06-23
- Protokolle wurden basierend auf dem Feld „eventname“ dem spezifischeren „metadata.event_type“ zugeordnet.
- „target.resource.resource_type“ wurde als „VIRTUAL_MACHINE“ zugeordnet.
- „requestParameters.status“ und „responseElements.certificate.status“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „requestParameters.instanceId“ wurde in „target.resource_ancestors.product_object_id“ umgewandelt.
- „requestParameters.userName“ wurde in „target.user.userid“ umgewandelt.
- „target.resource.name“ und „target.resource.product_object_id“ wurden anhand der Schlüssel zugeordnet, die unter jedem „eventName“ vorhanden sind.
- „userIdentity.arn“ wurde „principal.resource.name“ zugeordnet.
- „userIdentity.accountId“ wurde „principal.resource.product_object_id“ zugeordnet.
- Bei Protokollen mit folgendem „eventName“ wurde „metadata.event_type“ mit „RESOURCE_CREATION“ abgeglichen.
- „CreateTrail“, „AllocateAddress“, „CreateVolume“, „CreateVirtualMFADevice“, „UploadSigningCertificate“,
- „CreateAccessKey“, „UploadSSHPublicKey“, „CreateServiceSpecificCredential“, „UploadCloudFrontPublicKey“,
- „CreateAnalyzer“, „CreateSAMLProvider“, „PutConfigurationRecorder“, „CreateRole“, „CreateInstanceProfile“,
- „CreateExportTask“, „CreateLogGroup“, „EnableSecurityHub“, „CreateEnvironment“, „CreateSession“, „CreateServiceLinkedRole“,
- „CreateSnapshot“, „CreateKeyPair“, „CreateSecurityGroup“, „CreateDetector“, „CreateFlowLogs“,
- „EnableMacie“, „ConnectDirectory“, „RunInstances“, „CreateImage“, „CreateOrganization“
- Bei Protokollen mit folgendem „eventName“ wurde „metadata.event_type“ mit „RESOURCE_WRITTEN“ abgeglichen.
- „StartLogging“, „StopLogging“, „AssociateAddress“, „DisassociateAddress“, „DetachVolume“,
- „Volume anhängen“, „Volume ändern“, „MFA-Gerät aktivieren“, „MFA-Gerät neu synchronisieren“, „Signaturzertifikat aktualisieren“,
- „UpdateAccessKey“, „UpdateSSHPublicKey“, „ResetServiceSpecificCredential“, „UpdateServiceSpecificCredential“,
- „UpdateCloudFrontPublicKey“, „DisableRegion“, „EnableRegion“, „UpdateSAMLProvider“, „StartConfigurationRecorder“,
- „StopConfigurationRecorder“, „PutRetentionPolicy“, „PutDataProtectionPolicy“, „UpdateDetector“, „UpdateMacieSession“
- Bei Protokollen mit folgendem „eventName“ wurde „metadata.event_type“ mit „RESOURCE_DELETION“ abgeglichen.
- „DeleteTrail“, „ReleaseAddress“, „DeleteVolume“, „DeactivateMFADevice“, „DeleteVirtualMFADevice“,
- „DeleteSigningCertificate“, „DeleteAccessKey“, „DeleteSSHPublicKey“, „DeleteServiceSpecificCredential“,
- „DeleteCloudFrontPublicKey“, „DeleteAnalyzer“, „DeleteSAMLProvider“, „DeleteConfigurationRecorder“,
- „DeletePolicy“, „DeleteRole“, „DeleteInstanceProfile“, „DeleteLogGroup“, „DisableSecurityHub“, „DisableMacie“,
- „DeleteSnapshot“, „DeleteDetector“, „DeleteFlowLogs“, „DeregisterImage“, „TerminateInstances“
- Bei Protokollen mit folgendem „eventName“ wurde „metadata.event_type“ mit „RESOURCE_PERMISSIONS_CHANGE“ abgeglichen.
- „AttachUserPolicy“, „DetachUserPolicy“, „PutUserPolicy“, „DeleteUserPolicy“,
- „PutUserPermissionsBoundary“, „DeleteUserPermissionsBoundary“, „AttachRolePolicy“,
- „DetachRolePolicy“, „PutRolePolicy“, „PutResourcePolicy“, „PutCredentials“, „DeleteDirectory“
2023-06-09
- Der reguläre Ausdruck wurde geändert, um die JSON-Array-Protokolle zu identifizieren.
2023-06-07
- Alle Felder „principal.user“ wurden für „eventName“ als „ConsoleLogin“ zu „target.user“ zugeordnet.
2023-05-26
- Geparste Protokolle mit unterschiedlichem JSON-Muster
- „cipherSuite“ wurde zu „network.tls.cipher“ zugeordnet.
- „requestID“ wurde „target.resource.attribute.labels“ zugeordnet.
- „assumedRoleId“ wurde „security_result.about.resource.name“ zugeordnet.
- „roleSessionName“ wurde „target.resource.name“ zugeordnet.
- „roleArn“ wurde auf „target.resource.product_object_id“ zugeordnet.
- „userAgent“ wurde zu „network.http.user_agent“ zugeordnet.
- „sourceIPAddress“ wurde „principal.ip“ zugeordnet.
- „sessionIssuer.userName“ wurde „target.user.user_display_name“ zugeordnet.
- „sessionIssuer.principalId“ wurde „target.user.userid“ zugeordnet.
- „userIdentity.accessKeyId“ wurde auf „target.resource.product_object_id“ zugeordnet.
- „userIdentity.arn“ wurde „security_result.about.resource.id“ zugeordnet.
- „req.detail.Longitude“ wurde „_principal.location.region_longitude“ zugeordnet.
- „req.detail.Latitude“ wurde in „_principal.location.region_latitude“ umgewandelt.
- „detail.resourceType“ wurde in „target.resource.resource_subtype“ umgewandelt.
- Legen Sie „security_result.alert_state“ auf „ALERTING“ fest.
- „req.detail.recommendRemediation“ wurde in „security_result.action_details“ geändert.
- „eventLog.detail.eventName“ wurde auf „metadata.product_event_type“ zugeordnet.
2023-02-23
- „requestParameters.principalArn“ wurde in „principal.resource.name“ umgewandelt.
- „resources.ARN“ wurde „about.resource.name“ zugeordnet.
2022-11-24
- Lösung:
- Protokolle im neuen Format mit „configurationItem“ wurden durch Zuordnung der folgenden Felder geparst.
- „configurationItem.awsAccountId“ wurde mit „principal.user.userid“ verknüpft.
- „configurationItem.resourceId“ wurde „target.resource.id“ zugeordnet.
- „configurationItem.resourceType“ wurde auf „target.resource.resource_subtype“ zugeordnet
- „configurationItem.awsRegion“ wurde in „target.location.country_or_region“ umgewandelt.
- „configurationItem.configurationItemCaptureTime“ wurde in „target.asset.attribute.creation_time“ geändert.
- „configurationItem.configurationItemStatus“ wurde auf „target.asset.attribute.labels“ zugeordnet.
- „configurationItems.ARN“ wurde mit „target.resource.attribute.labels“ verknüpft.
- „configurationItems.availabilityZone“ wurde in „target.resource.attribute.cloud.availability_zone“ geändert.
- „configurationItems.awsRegion“ wurde auf „target.location.country_or_region“ zugeordnet.
- „configurationItems.awsAccountId“ wurde mit „principal.user.userid“ verknüpft.
- „configurationItems.configuration.activityStreamStatus“ wurde in „target.resource.attribute.labels“ geändert.
- „configurationItems.configuration.allocatedStorage“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „configurationItems.configuration.autoMinorVersionUpgrade“ wurde in „target.resource.attribute.labels“ umgewandelt.
- „configurationItems.configuration.backupRetentionPeriod“ wurde in „target.resource.attribute.labels“ geändert.
- „configurationItems.configuration.copyTagsToSnapshot“ wurde in „target.resource.attribute.labels“ umgewandelt.
- „configurationItems.configuration.dbClusterResourceId“ wurde in „target.resource.product_object_id“ umgewandelt.
- „configurationItems.configuration.masterUsername“ wurde in „principal.user.user_display_name“ geändert.
- „configurationItems.resourceName“ wurde auf „target.resource.name“ zugeordnet.
2022-10-13
- Für „eventName“: „CreateAccessKey“ wurde das Feld „responseElements.accessKey.accessKeyId“ auf „target.resource.product_object_id“ zugeordnet.
- Für „eventName“: „UpdateAccessKey“ wurde das Feld „requestParameters.accessKeyId“ mit „target.resource.product_object_id“ verknüpft.
- Für „eventName“: „DeleteAccessKey“ wurde das Feld „requestParameters.accessKeyId“ auf „target.resource.product_object_id“ zugeordnet.
- Für „eventName“: „CreateUser“ wurde das Feld „responseElements.user.userId“ mit „target.user.product_object_id“ verknüpft.
- Das Feld „eventTime“ wurde „metadata.collected_timestamp“ zugeordnet.
2022-07-27
- Der Ereignistyp „QueryDatabase“ wurde hinzugefügt und seine Felder wurden zugeordnet.
- Modifizierte Bedingungen für „principal.ip“ oder „principal.host“ zur Verarbeitung neuer Protokolle.
- Die Zuordnung von „requestParameters.roleArn“, „requestParameters.registryId“ und „resources.accountId“ von „target.resource.id“ zu „target.resource.product_object_id“ geändert.
- Die Parsebedingung für „req_params“ wurde geändert, um die Werte zu extrahieren.
2022-07-08
- Die Zuordnung für „req.requestParameters.roleName“ wurde von „target.user.role_name“ zu „target.user.attribute.roles“ geändert.
2022-07-06
- Die Zuordnung von „req.awsRegion“ wurde von „_principal.location.country_or_region“ zu „_principal.location.name“ geändert.
- Der Ereignistyp wurde für den Ereignisnamen „AssumeRole“ von „GENERIC_EVENT“ in „USER_LOGIN“ geändert.
- Der Ereignistyp wurde für den Ereignisnamen „PutImage“, „GetDownloadUrlForLayer“ oder „BatchGetImage“ von „GENERIC_EVENT“ in „USER_RESOURCE_ACCESS“ geändert.
- Der Ereignistyp wurde für das Ereignis „DeleteNetworkInterface“ von „GENERIC_EVENT“ in „USER_RESOURCE_DELETION“ geändert.
2022-06-06
- Für das Ereignis „CreateUser/DeleteUser“ wurde die Bedingung für die Verarbeitung der Src-Zuordnung geändert, da die vorhandene Bedingung für neue Protokolle fehlgeschlagen ist.
- Das Feld „puserId“ wurde geändert, um neue nicht geparste Protokolle zu verarbeiten.
2022-05-27
- Die folgenden Elemente aus Rohlogs wurden UDM-Elementen zugeordnet:
- „awsAccountId“ wurde mit „target.user.group_identifiers“ verknüpft.
- „digestS3Bucket“ wurde auf „target.resource.name“ zugeordnet.
- „digestS3Object“ ist „target.file.full_path“ zugeordnet.
- „previousDigestHashValue“ wurde auf „target.file.sha256“ zugeordnet.
- „digestSignatureAlgorithm“ wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
- „digestPublicKeyFingerprint“ wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
- „logFiles.s3Bucket“ wurde auf „about_resource.resource.name“ zugeordnet.
- „logFiles.s3Object“ wurde mit „about_resource.file.full_path“ verknüpft.
- „logFiles.hashValue“ wurde auf „about_resource.file.sha256“ zugeordnet.
2022-05-27
- Verbesserung: Der in „metadata.product_name“ gespeicherte Wert wurde in „AWS CloudTrail“ geändert.
2022-04-13
- Die folgenden Elemente aus Rohlogs wurden UDM-Elementen zugeordnet:
- Die Felder „requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls“, „requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets“, „requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy“, „requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls“, „requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls“, „additionalEventData.configRuleInputParameters.RestrictPublicBuckets“, „additionalEventData.configRuleInputParameters.BlockPublicPolicy“, „additionalEventData.configRuleInputParameters.BlockPublicAcls“, „additionalEventData.configRuleInputParameters.IgnorePublicAcls“ wurden in „target.resource.attribute.labels“ überführt.