Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AWS CloudTrail

Didukung di:

Google secops Siem

Dokumen ini menjelaskan langkah-langkah untuk mengonfigurasi penyerapan log dan data konteks AWS CloudTrail ke Google Security Operations. Langkah-langkah ini juga berlaku untuk proses transfer log dari layanan AWS lainnya, seperti AWS GuardDuty, AWS VPC Flow, AWS CloudWatch, dan AWS Security Hub.

Untuk menyerap log peristiwa, konfigurasi mengarahkan log CloudTrail ke bucket Amazon Simple Storage Service (Amazon S3). Anda memiliki opsi untuk memilih Amazon Simple Queue Service (Amazon SQS) atau Amazon S3 sebagai jenis sumber feed.

Bagian pertama dokumen ini memberikan langkah-langkah ringkas untuk menyerap log menggunakan Amazon S3 sebagai jenis sumber feed atau, sebaiknya menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed.

Bagian kedua memberikan langkah-langkah yang lebih mendetail dengan screenshot untuk menggunakan Amazon S3 sebagai jenis sumber feed. Amazon SQS tidak dibahas di bagian ini.

Bagian ketiga menjelaskan cara menyerap data konteks AWS untuk host, layanan, jaringan VPC, dan pengguna.

Langkah-langkah dasar untuk menyerap log dari S3 dengan atau tanpa SQS

Bagian ini menjelaskan langkah-langkah dasar untuk menyerap log AWS CloudTrail ke dalam instance Google SecOps Anda. Langkah-langkah ini menjelaskan cara melakukannya menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed atau, secara opsional, menggunakan Amazon S3 sebagai jenis sumber feed.

Mengonfigurasi AWS CloudTrail dan S3

Dalam prosedur ini, Anda mengonfigurasi log AWS CloudTrail untuk ditulis ke bucket S3.

Di konsol AWS, telusuri CloudTrail.
Klik Buat jalur.
Berikan Nama jalur.
Pilih Buat bucket S3 baru. Anda juga dapat memilih untuk menggunakan bucket S3 yang ada.
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Berikutnya.
Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
Tinjau setelan di Tinjau dan buat, lalu klik Buat rekaman aktivitas.
Di konsol AWS, telusuri Amazon S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Salin URI S3 dan simpan untuk digunakan di langkah-langkah berikut.

Membuat antrean SQS

Sebaiknya gunakan antrean SQS. Jika Anda menggunakan antrean SQS, antrean tersebut harus berupa antrean Standar, bukan antrean FIFO.

Untuk mengetahui detail tentang cara membuat antrean SQS, lihat Memulai Amazon SQS.

Menyiapkan notifikasi ke antrean SQS

Jika Anda menggunakan antrean SQS, siapkan notifikasi di bucket S3 untuk menulis ke antrean SQS. Pastikan untuk melampirkan kebijakan akses.

Mengonfigurasi pengguna AWS IAM

Konfigurasikan pengguna AWS IAM yang akan digunakan Google SecOps untuk mengakses antrean SQS (jika digunakan) dan bucket S3.

Di konsol AWS, telusuri IAM.
Klik Pengguna,lalu di layar berikut, klik Tambahkan Pengguna.
Berikan nama untuk pengguna, misalnya, chronicle-feed-user, Pilih jenis kredensial AWS sebagai Kunci akses - Akses terprogram, lalu klik Berikutnya: Izin.
Pada langkah berikutnya, pilih Attach existing policies directly dan pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Google SecOps harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3.
Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat lebih membatasi akses hanya ke bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
Saat menerapkan kebijakan, pastikan Anda telah menyertakan sqs:DeleteMessage. Google SecOps tidak dapat menghapus pesan jika izin sqs:DeleteMessage tidak dilampirkan ke antrean SQS. Semua pesan dikumpulkan di sisi AWS, yang menyebabkan penundaan karena Google SecOps berulang kali mencoba mentransfer file yang sama.
Klik Berikutnya:Tag.
Tambahkan tag jika diperlukan, lalu klik Berikutnya > Tinjau.
Tinjau konfigurasi, lalu klik Create user.
Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat, untuk digunakan di langkah berikutnya.

Menyiapkan feed

Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Setelah menyelesaikan prosedur sebelumnya, buat feed untuk menyerap log AWS dari bucket Amazon S3 ke instance Google SecOps. Jika Anda tidak menggunakan antrean SQS, dalam prosedur berikut, pilih Amazon S3 untuk jenis sumber feed, bukan Amazon SQS.

Untuk mengonfigurasi beberapa feed untuk jenis log yang berbeda dalam grup produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasikan satu feed.
Di dialog Source type, pilih Amazon S3.
Di menu Jenis Log, pilih AWS CloudTrail (atau layanan AWS lainnya).
Klik Berikutnya.
Masukkan parameter input untuk feed Anda di kolom.
Jika jenis sumber feed adalah Amazon S3, lakukan hal berikut:
1. Pilih region dan berikan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Anda juga dapat menambahkan URI S3 menggunakan variabel.
```
 {{datetime("yyyy/MM/dd")}}
 
```
  Dalam contoh berikut, Google Security Operations memindai log setiap kali hanya untuk hari tertentu.
```
 s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
 
```
2. Untuk URI IS A, pilih Directories including subdirectories. Pilih opsi yang sesuai di bagian Source Deletion Option. Pastikan izinnya cocok dengan izin akun Pengguna IAM yang Anda buat sebelumnya.
3. Berikan ID Kunci Akses dan Kunci Akses Rahasia akun pengguna IAM yang Anda buat sebelumnya.
Klik Berikutnya dan Selesai.

Menyiapkan feed dari Content Hub

Anda dapat mengonfigurasi feed penyerapan di Google SecOps menggunakan Amazon SQS (lebih disukai) atau Amazon S3.

Tentukan nilai untuk kolom berikut:

Region: Masukkan URI S3 bucket Amazon S3 yang Anda salin sebelumnya. Anda juga dapat menambahkan URI S3 menggunakan variabel.
```
     {{datetime("yyyy/MM/dd")}}
     
```
Dalam contoh berikut, Google SecOps memindai log setiap kali hanya untuk hari tertentu.
```
     s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
     
```
URI ADALAH: Pilih Direktori termasuk subdirektori.
Opsi Penghapusan Sumber: Pilih opsi yang sesuai yang cocok dengan izin akun Pengguna IAM yang dibuat sebelumnya.
Berikan ID Kunci Akses dan Kunci Akses Rahasia akun pengguna IAM yang Anda buat sebelumnya.

Opsi lanjutan

Nama Feed: Nilai yang diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Langkah-langkah mendetail untuk menyerap log dari S3

Mengonfigurasi AWS CloudTrail (atau layanan lainnya)

Selesaikan langkah-langkah berikut untuk mengonfigurasi log AWS CloudTrail dan mengarahkan log ini untuk ditulis ke bucket AWS S3 yang dibuat dalam prosedur sebelumnya:

Di konsol AWS, telusuri CloudTrail.
Klik Buat jalur.
Berikan Nama jalur.
Pilih Buat bucket S3 baru. Anda juga dapat memilih untuk menggunakan bucket S3 yang ada.
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Berikutnya.
Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
Tinjau setelan di Tinjau dan buat, lalu klik Buat rekaman aktivitas.
Di konsol AWS, telusuri Amazon S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Salin URI S3 dan simpan untuk digunakan di langkah-langkah berikut.

Mengonfigurasi Pengguna AWS IAM

Pada langkah ini, kita akan mengonfigurasi pengguna AWS IAM yang akan digunakan Google SecOps untuk mendapatkan feed log dari AWS.

Di konsol AWS, telusuri IAM.
Klik Pengguna,lalu di layar berikut, klik Tambahkan Pengguna.
Berikan nama untuk pengguna, misalnya, chronicle-feed-user, Pilih jenis kredensial AWS sebagai Kunci akses - Akses terprogram, lalu klik Berikutnya: Izin.
Pada langkah berikutnya, pilih Attach existing policies directly dan pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Google SecOps harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3. Klik Berikutnya:Tag.
Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat lebih membatasi akses hanya ke bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
Tambahkan tag jika diperlukan, lalu klik Berikutnya > Tinjau.
Tinjau konfigurasi, lalu klik Create user.
Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat, untuk digunakan di langkah berikutnya.

Mengonfigurasi Feed di Google SecOps untuk Mengambil Log AWS

Buka setelan Google Security Operations, lalu klik Feed.
Klik Tambahkan Baru.
Pilih Amazon S3 sebagai Jenis Sumber feed.
Pilih AWS CloudTrail (atau layanan AWS lainnya) untuk Jenis Log.

Klik Berikutnya.
Pilih region dan berikan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Selanjutnya, Anda dapat menambahkan URI S3 dengan:
```
{{datetime("yyyy/MM/dd","+8H")}}
```
Seperti dalam contoh berikut, sehingga Google SecOps akan memindai log setiap kali hanya untuk hari tertentu:
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd","+8H")}}/
```
Di bagian URI IS A, pilih Directories including subdirectories. Pilih opsi yang sesuai di bagian Opsi Penghapusan Sumber. Opsi ini harus cocok dengan izin akun Pengguna IAM yang kita buat sebelumnya.
Berikan ID Kunci Akses dan Kunci Akses Rahasia dari akun Pengguna IAM yang kita buat sebelumnya.
Klik Berikutnya dan Selesai.

Langkah-langkah untuk menyerap data konteks AWS

Untuk menyerap data konteks tentang entitas AWS (seperti host, instance, dan pengguna), buat feed untuk setiap jenis log berikut, yang tercantum berdasarkan deskripsi dan label penyerapan:

HOST AWS EC2 (AWS_EC2_HOSTS)
AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
VPC AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Untuk membuat feed untuk setiap jenis log ini, lakukan hal berikut:

Di menu navigasi, pilih Setelan SIEM > Feed.
Di halaman Feeds, klik Add New Feed. Dialog Tambahkan feed akan muncul.
Di menu Source type, pilih Third party API.
Pada menu Log Type, pilih AWS EC2 Hosts.
Klik Berikutnya.
Masukkan parameter input untuk feed di kolom.
Klik Next, lalu Finish.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan feed untuk setiap jenis log, lihat dokumentasi Pengelolaan feed berikut:

Untuk informasi umum tentang cara membuat feed, lihat Panduan pengguna pengelolaan feed atau Feed management API.

Referensi pemetaan kolom

Kode parser ini memproses log AWS CloudTrail dalam format JSON. Pertama, fungsi ini mengekstrak dan menyusun pesan log mentah, lalu melakukan iterasi melalui setiap kumpulan data dalam array "Kumpulan data", yang menormalisasi peristiwa tunggal ke dalam format yang sama dengan multi-peristiwa. Terakhir, alat ini memetakan kolom yang diekstrak ke skema UDM Google Security Operations, yang memperkaya data dengan konteks tambahan dan informasi yang relevan dengan keamanan.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Records.0.additionalEventData .AuthenticationMethod	additional.fields .AuthenticationMethod.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .CipherSuite	additional.fields .CipherSuite.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .LoginTo	additional.fields .LoginTo.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .MFAUsed	extensions.auth.auth_details	Jika nilainya "Ya", kolom UDM akan ditetapkan ke "MFAUsed: Yes". Jika tidak, nilai ini akan ditetapkan ke "MFAUsed: No".
Records.0.additionalEventData .MobileVersion	additional.fields .MobileVersion.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .SamlProviderArn	additional.fields .SamlProviderArn.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .SignatureVersion	additional.fields .SignatureVersion.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.additionalEventData .bytesTransferredIn	network.received_bytes	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan.
Records.0.additionalEventData .bytesTransferredOut	network.sent_bytes	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan.
Records.0.additionalEventData .x-amz-id-2	additional.fields .x-amz-id-2.value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.awsRegion	principal.location.name	Pemetaan langsung dari kolom log mentah.
Records.0.awsRegion	target.location.name	Pemetaan langsung dari kolom log mentah.
Records.0.errorCode	security_result.rule_id	Pemetaan langsung dari kolom log mentah.
Records.0.errorMessage	security_result.description	Kolom UDM ditetapkan ke "Alasan: " yang digabungkan dengan nilai dari kolom log mentah.
Records.0.eventCategory	security_result.category_details	Pemetaan langsung dari kolom log mentah.
Records.0.eventID	metadata.product_log_id	Pemetaan langsung dari kolom log mentah.
Records.0.eventName	metadata.product_event_type	Pemetaan langsung dari kolom log mentah.
Records.0.eventName	_metadata.event_type	Dipetakan berdasarkan nilai kolom log mentah. Lihat kode parser untuk pemetaan tertentu.
Records.0.eventSource	target.application	Pemetaan langsung dari kolom log mentah.
Records.0.eventSource	metadata.ingestion_labels.EventSource	Pemetaan langsung dari kolom log mentah.
Records.0.eventTime	metadata.event_timestamp	Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai stempel waktu ISO8601.
Records.0.eventVersion	metadata.product_version	Pemetaan langsung dari kolom log mentah.
Records.0.managementEvent	additional.fields.ManagementEvent .value.string_value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.readOnly	additional.fields.ReadOnly .value.string_value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.recipientAccountId	principal.user.group_identifiers	Pemetaan langsung dari kolom log mentah.
Records.0.recipientAccountId	target.resource.attribute .labels.Recipient Account Id.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestID	target.resource.attribute .labels.Request ID.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters	target.resource.attribute .labels	Berbagai kolom dalam requestParameters dipetakan ke label dalam atribut resource target. Lihat kode parser untuk pemetaan tertentu.
Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters.accessKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.allocationId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.associationId	target.resource.attribute .labels.requestParameters associationId.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.certificateId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .configurationRecorder.name	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .configurationRecorderName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .createVolumePermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .createVolumePermission.add.items.0.userId	target.resource.attribute .labels.Add Items UserId.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .createVolumePermission.remove.items.0.userId	target.resource.attribute .labels.Remove Items UserId.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.detectorId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.destinationId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.directoryId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.documentName	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.egress	target.resource.attribute .labels.requestParameters egress.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.emailIdentity	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.enabled	target.resource.attribute .labels.Request Enabled.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value	target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.functionName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .granteePrincipal	principal.hostname	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .granteePrincipal	principal.asset.hostname	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.groupId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.groupName	target.group.group_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.imageId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.instanceId	target.resource_ancestors.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .instanceProfileName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.instanceType	target.resource.attribute .labels.Instance Type.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .instancesSet.items.0.instanceId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .instancesSet.items.0.maxCount	target.resource.attribute .labels.Instance Set Max Count.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .instancesSet.items.0.minCount	target.resource.attribute .labels.Instance Set Min Count.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp	target.resource.attribute .labels.ipPermissions cidrIp.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.keyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters. launchPermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn	target.resource.attribute.labels .Add Items OrganizationalUnitArn .value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters. launchPermission.add.items .0.userId	target.resource.attribute .labels.Add Items UserId.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn	target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters. launchPermission.remove.items .0.userId	target.resource.attribute .labels.Remove Items UserId.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.loadBalancerArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.logGroupIdentifier	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.logGroupName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.name	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.name	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.networkAclId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .networkInterfaceId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.parentId	target.resource_ancestors.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.policyArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .policyArns.0.arn	target.resource.attribute .labels.Policy ARN 0.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .policyArns.1.arn	target.resource.attribute .labels.Policy ARN 1.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.policyName	target.resource.attribute .permissions.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.policyName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.principalArn	principal.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.publicKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.RegionName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.RegionName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.roleName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.sAMLProviderArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.secretId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.serialNumber	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .serviceSpecificCredentialId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.sendingEnabled	target.resource.attribute .labels.Request Sending Enabled.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.requestParameters.snapshotId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.sSHPublicKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.stackName	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.status	target.resource.attribute .labels.Request Parameter Status.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.subnetId	target.resource.attribute .labels.Subnet Id.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .targets.0.InstanceIds	target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters .targets.0.key	target.resource.attribute .labels.requestParameters.targets.0.key.value	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.trailName	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.userName	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.volumeId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.requestParameters.withDecryption	security_result.detection_fields .withDecryption.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.responseElements	target.resource.attribute.labels	Berbagai kolom dalam responseElements dipetakan ke label dalam atribut resource target. Lihat kode parser untuk pemetaan tertentu.
Records.0.responseElements.accessKey.accessKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.accessKey.status	target.resource.attribute .labels.Response Access Key Status.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.accessKey.userName	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.allocationId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .certificate.certificateId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .certificate.status	target.resource.attribute .labels.Certificate Status.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .certificate.userName	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .credentials.accessKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .credentials.sessionToken	security_result.detection_fields .sessionToken.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createAccountStatus.accountId	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createCollectionDetail.arn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .createCollectionDetail.id	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .deleteCollectionDetail.id	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.description	target.resource.attribute .labels.Response Elements Description.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.destinationId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.detectorId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.directoryId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .domainStatus.aRN	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .domainStatus.domainId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .federatedUser.arn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .federatedUser.federatedUserId	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .firewall.firewallArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .firewall.firewallId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .firewall.firewallName	target.resource.attribute .labels.Firewall Name.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .flowLogIdSet.item	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.functionArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .group.arn	target.group.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .group.groupName	target.group.group_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .image.imageId.imageDigest	src.file.sha256	Kolom UDM ditetapkan ke nilai setelah "sha256:" di kolom log mentah.
Records.0.responseElements .image.imageManifestMediaType	src.file.mime_type	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.instanceArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .instanceProfile.arn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .instancesSet.items.0.instanceId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.keyId	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .keyMetadata.arn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .keyMetadata.encryptionAlgorithms	security_result.detection_fields .encryptionAlgorithm.value	Kolom UDM ditetapkan ke nilai setiap elemen dalam array dari kolom log mentah.
Records.0.responseElements .keyMetadata.keyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.keyPairId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .listeners.0.listenerArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .listeners.0.loadBalancerArn	target.resource.ancestors.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .loadBalancers.0.loadBalancerArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.newAssociationId	target.resource.attribute.labels .responseElements newAssociationId.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.packedPolicySize	security_result.detection_fields .packedPolicySize.value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.0.responseElements .publicKey.publicKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.sAMLProviderArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .sSHPublicKey.sSHPublicKeyId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .sSHPublicKey.status	target.resource.attribute .labels.SSH Public Key Status.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .securityGroupRuleSet.items.0.groupId	security_result.rule_labels.Group Id.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol	network.ip_protocol	Pemetaan langsung dari kolom log mentah, yang dikonversi ke huruf besar.
Records.0.responseElements .securityGroupRuleSet.items.0.isEgress	network.direction	Jika nilainya "false", kolom UDM akan ditetapkan ke "INBOUND". Jika tidak, nilai ini akan ditetapkan ke "OUTBOUND".
Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId	security_result.rule_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .serviceSpecificCredential.serviceName	target.resource.attribute.labels .Specific Credential ServiceName .value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .serviceSpecificCredential.serviceUserName	target.resource.attribute.labels .Specific Credential Service UserName .value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .serviceSpecificCredential.status	target.resource.attribute .labels.Specific Credential Status.value	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .serviceSpecificCredential.userName	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.snapshotId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.stackId	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .tableDescription.tableArn	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .tableDescription.tableId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.trailARN	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .user.arn	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .user.userId	target.user.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .user.userName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements .virtualMFADevice.serialNumber	target.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.responseElements.volumeId	target.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.resources	target.resource	Elemen pertama dalam array resource dipetakan ke resource target. Elemen lainnya dipetakan ke kolom tentang.
Records.0.sharedEventID	additional.fields.SharedEventID .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.sourceIPAddress	principal.asset.ip	Pemetaan langsung dari kolom log mentah.
Records.0.sourceIPAddress	principal.ip	Pemetaan langsung dari kolom log mentah.
Records.0.sourceIPAddress	src_ip	Pemetaan langsung dari kolom log mentah.
Records.0.tlsDetails.cipherSuite	network.tls.cipher	Pemetaan langsung dari kolom log mentah.
Records.0.tlsDetails.clientProvidedHostHeader	security_result.detection_fields .clientProvidedHostHeader.value	Pemetaan langsung dari kolom log mentah.
Records.0.tlsDetails.tlsVersion	network.tls.version	Pemetaan langsung dari kolom log mentah.
Records.0.userAgent	network.http.user_agent	Pemetaan langsung dari kolom log mentah.
Records.0.userAgent	network.http.parsed_user_agent	Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai string agen pengguna.
Records.0.userIdentity.accessKeyId	additional.fields.accessKeyId .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.accountId	principal.resource.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.accountId	principal.user.group_identifiers	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.arn	principal.resource.name	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.arn	principal.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.arn	target.user.attribute .labels.ARN.value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.invokedBy	principal.user.userid	Kolom UDM ditetapkan ke nilai sebelum ".amazonaws.com" di kolom log mentah.
Records.0.userIdentity.principalId	principal.user.product_object_id	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.principalId	principal.user.attribute .labels.principalId.value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated	principal.user.attribute .labels.mfaAuthenticated.value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity .sessionContext.sessionIssuer.arn	target.user.attribute .labels.ARN.value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity .sessionContext.sessionIssuer.principalId	target.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity .sessionContext.sessionIssuer.type	target.user.attribute .labels.Type.value	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity .sessionContext.sessionIssuer.userName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.type	principal.resource.resource_subtype	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.type	principal.resource.type	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.userName	principal.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.userName	src.user.userid	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.userName	src.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.0.userIdentity.userName	target.user.user_display_name	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .AuthenticationMethod	additional.fields.AuthenticationMethod .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .CipherSuite	additional.fields.CipherSuite .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .LoginTo	additional.fields.LoginTo .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .MFAUsed	extensions.auth.auth_details	Jika nilainya "Ya", kolom UDM akan ditetapkan ke "MFAUsed: Yes". Jika tidak, nilai ini akan ditetapkan ke "MFAUsed: No".
Records.1.additionalEventData .MobileVersion	additional.fields.MobileVersion .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .SamlProviderArn	additional.fields.SamlProviderArn .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .SignatureVersion	additional.fields.SignatureVersion .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.additionalEventData .bytesTransferredIn	network.received_bytes	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan.
Records.1.additionalEventData .bytesTransferredOut	network.sent_bytes	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan.
Records.1.additionalEventData .x-amz-id-2	additional.fields.x-amz-id-2 .value.string_value	Pemetaan langsung dari kolom log mentah.
Records.1.awsRegion	principal.location.name	Pemetaan langsung dari kolom log mentah.
Records.1.awsRegion	target.location.name	Pemetaan langsung dari kolom log mentah.
Records.1.errorCode	security_result.rule_id	Pemetaan langsung dari kolom log mentah.
Records.1.errorMessage	security_result.description	Kolom UDM ditetapkan ke "Alasan: " yang digabungkan dengan nilai dari kolom log mentah.
Records.1.eventCategory	security_result.category_details	Pemetaan langsung dari kolom log mentah.
Records.1.eventID	metadata.product_log_id	Pemetaan langsung dari kolom log mentah.
Records.1.eventName	metadata.product_event_type	Pemetaan langsung dari kolom log mentah.
Records.1.eventName	_metadata.event_type	Dipetakan berdasarkan nilai kolom log mentah. Lihat kode parser untuk pemetaan tertentu.
Records.1.eventSource	target.application	Pemetaan langsung dari kolom log mentah.
Records.1.eventSource	metadata.ingestion_labels.EventSource	Pemetaan langsung dari kolom log mentah.
Records.1.eventTime	metadata.event_timestamp	Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai stempel waktu ISO8601.
Records.1.eventVersion	metadata.product_version	Pemetaan langsung dari kolom log mentah.
Records.1.managementEvent	additional.fields.ManagementEvent .value.string_value	Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string.
Records.1.readOnly	additional.fields.ReadOnly .value

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.