Raccogliere i log di AWS CloudTrail
Supportato in:
Google SecOps
SIEM
Questo documento descrive i passaggi per configurare l'importazione dei log e dei dati di contesto di AWS CloudTrail in Google Security Operations. Questi passaggi si applicano anche all'importazione dei log da altri servizi AWS, come AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.
Per importare i log eventi, la configurazione indirizza i log CloudTrail a un bucket Amazon Simple Storage Service (Amazon S3). Puoi scegliere tra Amazon Simple Queue Service (Amazon SQS) o Amazon S3 come tipo di origine del feed.
La prima parte di questo documento fornisce procedure concise per utilizzare Amazon S3 come tipo di origine del feed o, preferibilmente, Amazon S3 con Amazon SQS come tipo di origine del feed. La seconda parte fornisce passaggi più dettagliati con screenshot per l'utilizzo di Amazon S3 come tipo di origine del feed. L'utilizzo di Amazon SQS non è trattato nella seconda parte. La terza parte fornisce informazioni su come importare i dati di contesto AWS su host, servizi, reti VPC e utenti.
Passaggi di base per importare i log da S3 con o senza SQS
Questa sezione descrive i passaggi di base per importare i log di AWS CloudTrail nella tua istanza Google Security Operations. I passaggi descrivono come eseguire questa operazione utilizzando Amazon S3 con Amazon SQS come tipo di origine del feed o, facoltativamente, Amazon S3 come tipo di origine del feed.
Configura AWS CloudTrail e S3
In questa procedura, configuri i log di AWS CloudTrail in modo che vengano scritti in un bucket S3.
- Nella console AWS, cerca CloudTrail.
- Fai clic su Crea percorso.
- Fornisci un nome del sentiero.
- Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.
- Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
- Puoi lasciare le altre impostazioni predefinite e fare clic su Avanti.
- Scegli Tipo di evento, aggiungi gli Eventi di dati richiesti e fai clic su Avanti.
- Rivedi le impostazioni in Rivedi e crea e fai clic su Crea traccia.
- Nella console AWS, cerca Bucket Amazon S3.
- Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Poi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi successivi.
Crea una coda SQS
Ti consigliamo di utilizzare una coda SQS. Se utilizzi una coda SQS, deve essere una coda standard, non una coda FIFO.
Per informazioni dettagliate sulla creazione delle code SQS, consulta la guida introduttiva ad Amazon SQS.
Configurare le notifiche per la coda SQS
Se utilizzi una coda SQS, configura le notifiche nel tuo bucket S3 per scrivere nella coda SQS. Assicurati di allegare un criterio di accesso.
Configura l'utente AWS IAM
Configura un utente AWS IAM che Google Security Operations utilizzerà per accedere sia alla coda SQS (se utilizzata) sia al bucket S3.
- Nella console AWS, cerca IAM.
- Fai clic su Utenti e poi,nella schermata successiva, fai clic su Aggiungi utenti.
- Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.
- Nel passaggio successivo, seleziona Allega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, a seconda dei casi. AmazonS3FullAccess verrebbe utilizzato se Google Security Operations dovesse svuotare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3.
- Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione AWS per creare un criterio personalizzato.
- Quando applichi un criterio, assicurati di aver incluso
sqs:DeleteMessage. Google Security Operations non è in grado di eliminare i messaggi se l'sqs:DeleteMessageautorizzazione non è associata alla coda SQS. Tutti i messaggi vengono accumulati sul lato AWS, il che causa un ritardo quando Google Security Operations tenta ripetutamente di trasferire gli stessi file. - Fai clic su Successivo:tag.
- Se necessario, aggiungi i tag e fai clic su Avanti:Rivedi.
- Rivedi la configurazione e fai clic su Crea utente.
- Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato da utilizzare nel passaggio successivo.
Creare il feed
Dopo aver completato le procedure precedenti, crea un feed per importare i log AWS dal tuo bucket Amazon S3 nell'istanza Google Security Operations. Se non utilizzi una coda SQS, nella procedura seguente seleziona Amazon S3 per il tipo di origine del feed anziché Amazon SQS.
Per creare un feed:
- Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM e poi Feed.
- Nella pagina Feed, fai clic su Aggiungi nuovo.
- Nella finestra di dialogo Aggiungi feed, utilizza la finestra di dialogo Tipo di origine per selezionare Amazon SQS o Amazon S3.
- Nel menu Tipo di log, seleziona AWS CloudTrail (o un altro servizio AWS).
- Fai clic su Avanti.
Inserisci i parametri di input per il feed nei campi.
Se il tipo di origine del feed è Amazon S3, svolgi i seguenti passaggi:Seleziona regione e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Puoi anche aggiungere l'URI S3 utilizzando la variabile.
{{datetime("yyyy/MM/dd")}}s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/Per URI È UNA, seleziona Directory incluse le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine. Assicurati che corrispondano alle autorizzazioni dell'account Utente IAM creato in precedenza.
Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account utente IAM creato in precedenza.
Fai clic su Avanti e Fine.
Procedura dettagliata per importare i log da S3
Configura AWS CloudTrail (o un altro servizio)
Completa i seguenti passaggi per configurare i log di AWS CloudTrail e indirizzarli alla scrittura nel bucket AWS S3 creato nella procedura precedente:
- Nella console AWS, cerca CloudTrail.
Fai clic su Crea percorso.
Fornisci un nome del sentiero.
Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.
Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
Puoi lasciare le altre impostazioni predefinite e fare clic su Avanti.
Scegli Tipo di evento, aggiungi gli Eventi di dati richiesti e fai clic su Avanti.
Rivedi le impostazioni in Rivedi e crea e fai clic su Crea traccia.
Nella console AWS, cerca Bucket Amazon S3.
Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Poi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi successivi.
Configura l'utente AWS IAM
In questo passaggio, configureremo un utente AWS IAM che verrà utilizzato da Google Security Operations per ricevere i feed dei log da AWS.
Nella console AWS, cerca IAM.
Fai clic su Utenti e poi,nella schermata successiva, fai clic su Aggiungi utenti.
Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.
Nel passaggio successivo, seleziona Allega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, a seconda dei casi. AmazonS3FullAccess verrebbe utilizzato se Google Security Operations dovesse svuotare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3. Fai clic su Successivo:tag.
Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione AWS per creare un criterio personalizzato.
Se necessario, aggiungi i tag e fai clic su Avanti:Rivedi.
Rivedi la configurazione e fai clic su Crea utente.
Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato da utilizzare nel passaggio successivo.
Configurare il feed in Google Security Operations per importare i log AWS
- Vai alle impostazioni di Google Security Operations e fai clic su Feed.
- Fai clic su Aggiungi nuovo.
- Seleziona Amazon SQS o Amazon S3 come Tipo di origine del feed.
- Seleziona AWS CloudTrail (o un altro servizio AWS) per Tipo di log.
- Fai clic su Avanti.
Seleziona regione e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre, puoi aggiungere all'URI S3:
{{datetime("yyyy/MM/dd")}}Come nell'esempio seguente, in modo che Google Security Operations esamini i log ogni volta solo per un determinato giorno:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/In URI È UN, seleziona Directory incluse le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine,che deve corrispondere alle autorizzazioni dell'account Utente IAM che abbiamo creato in precedenza.
Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account Utente IAM che abbiamo creato in precedenza.
Fai clic su Avanti e Fine.
Passaggi per importare i dati di contesto AWS
Per importare i dati di contesto sulle entità AWS (ad esempio host, istanze e utenti), crea un feed per ciascuno dei seguenti tipi di log, elencati per descrizione e etichetta di importazione:
- AWS EC2 HOSTS (
AWS_EC2_HOSTS) - ISTANZE AWS EC2 (
AWS_EC2_INSTANCES) - VPC AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Per creare un feed per ciascuno di questi tipi di log:
- Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e poi Feed.
- Nella pagina Feed, fai clic su Aggiungi nuovo. Viene visualizzata la finestra di dialogo Aggiungi feed.
- Nel menu Tipo di origine, seleziona API di terze parti.
- Nel menu Tipo di log, seleziona Host AWS EC2.
- Fai clic su Avanti.
- Inserisci i parametri di input per il feed nei campi.
- Fai clic su Avanti e poi su Fine.
Per informazioni più dettagliate sulla configurazione di un feed per ogni tipo di log, consulta la seguente documentazione sulla gestione dei feed:
- HOST AWS EC2 (
AWS_EC2_HOSTS) - AWS EC2 INSTANCES (
AWS_EC2_INSTANCES) - VPC AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Per informazioni generali sulla creazione di un feed, consulta la guida dell'utente per la gestione dei feed o l'API Feed Management.
Riferimento alla mappatura dei campi
Questo codice del parser elabora i log di AWS CloudTrail in formato JSON. Innanzitutto estrae e struttura il messaggio di log non elaborato, quindi esegue l'iterazione di ogni record nell'array "Record", normalizzando i singoli eventi nello stesso formato dei multi-eventi. Infine, mappa i campi estratti allo schema UDM di Google Security Operations, arricchendo i dati con contesto aggiuntivo e informazioni pertinenti alla sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
| Records.0.additionalEventData .AuthenticationMethod |
additional.fields .AuthenticationMethod.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .CipherSuite |
additional.fields .CipherSuite.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .LoginTo |
additional.fields .LoginTo.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .MFAUsed |
extensions.auth.auth_details | Se il valore è "Sì", il campo UDM è impostato su "MFAUsed: Yes". In caso contrario, è impostato su "MFAUsed: No". |
| Records.0.additionalEventData .MobileVersion |
additional.fields .MobileVersion.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .SamlProviderArn |
additional.fields .SamlProviderArn.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .SignatureVersion |
additional.fields .SignatureVersion.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.additionalEventData .bytesTransferredIn |
network.received_bytes | Mappatura diretta dal campo del log non elaborato, convertito in un numero intero non firmato. |
| Records.0.additionalEventData .bytesTransferredOut |
network.sent_bytes | Mappatura diretta dal campo del log non elaborato, convertito in un numero intero non firmato. |
| Records.0.additionalEventData .x-amz-id-2 |
additional.fields .x-amz-id-2.value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.awsRegion | principal.location.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.awsRegion | target.location.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.errorCode | security_result.rule_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.errorMessage | security_result.description | Il campo UDM è impostato su "Motivo: " concatenato con il valore del campo del log non elaborato. |
| Records.0.eventCategory | security_result.category_details | Mappatura diretta dal campo del log non elaborato. |
| Records.0.eventID | metadata.product_log_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.eventName | metadata.product_event_type | Mappatura diretta dal campo del log non elaborato. |
| Records.0.eventName | _metadata.event_type | Mappatura eseguita in base al valore del campo del log non elaborato. Consulta il codice del parser per mappature specifiche. |
| Records.0.eventSource | target.application | Mappatura diretta dal campo del log non elaborato. |
| Records.0.eventSource | metadata.ingestion_labels.EventSource | Mappatura diretta dal campo del log non elaborato. |
| Records.0.eventTime | metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato, analizzato come timestamp ISO8601. |
| Records.0.eventVersion | metadata.product_version | Mappatura diretta dal campo del log non elaborato. |
| Records.0.managementEvent | additional.fields.ManagementEvent .value.string_value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.readOnly | additional.fields.ReadOnly .value.string_value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.recipientAccountId | principal.user.group_identifiers | Mappatura diretta dal campo del log non elaborato. |
| Records.0.recipientAccountId | target.resource.attribute .labels.Recipient Account Id.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestID | target.resource.attribute .labels.Request ID.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters | target.resource.attribute .labels |
Vari campi all'interno di requestParameters sono mappati alle etichette all'interno dell'attributo della risorsa di destinazione. Consulta il codice del parser per mappature specifiche. |
| Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters.accessKeyId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.allocationId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.associationId | target.resource.attribute .labels.requestParameters associationId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.certificateId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .configurationRecorder.name |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .configurationRecorderName |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .createVolumePermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .createVolumePermission.add.items.0.userId |
target.resource.attribute .labels.Aggiungi elementi UserId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .createVolumePermission.remove.items.0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.detectorId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.destinationId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.directoryId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.documentName | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.egress | target.resource.attribute .labels.requestParameters egress.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.emailIdentity | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.enabled | target.resource.attribute .labels.Request Enabled.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value |
target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.functionName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .granteePrincipal |
principal.hostname | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .granteePrincipal |
principal.asset.hostname | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.groupId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.groupName | target.group.group_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.imageId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.instanceId | target.resource_ancestors.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .instanceProfileName |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.instanceType | target.resource.attribute .labels.Instance Type.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .instancesSet.items.0.instanceId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .instancesSet.items.0.maxCount |
target.resource.attribute .labels.Instance Set Max Count.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .instancesSet.items.0.minCount |
target.resource.attribute .labels.Instance Set Min Count.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp |
target.resource.attribute .labels.ipPermissions cidrIp.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.keyId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters. launchPermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn |
target.resource.attribute.labels .Aggiungi elementi OrganizationalUnitArn .value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters. launchPermission.add.items .0.userId |
target.resource.attribute .labels.Aggiungi elementi UserId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn |
target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters. launchPermission.remove.items .0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.loadBalancerArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.logGroupIdentifier | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.logGroupName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.name | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.name | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.networkAclId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .networkInterfaceId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.parentId | target.resource_ancestors.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.policyArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .policyArns.0.arn |
target.resource.attribute .labels.Policy ARN 0.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .policyArns.1.arn |
target.resource.attribute .labels.Policy ARN 1.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.policyName | target.resource.attribute .permissions.name |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.policyName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.principalArn | principal.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.publicKeyId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.RegionName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.RegionName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.roleName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.sAMLProviderArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.secretId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.serialNumber | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .serviceSpecificCredentialId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.sendingEnabled | target.resource.attribute .labels.Request Sending Enabled.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.requestParameters.snapshotId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.sSHPublicKeyId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.stackName | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.status | target.resource.attribute .labels.Request Parameter Status.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.subnetId | target.resource.attribute .labels.Subnet Id.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .targets.0.InstanceIds |
target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters .targets.0.key |
target.resource.attribute .labels.requestParameters.targets.0.key.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.trailName | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.userName | target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.volumeId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.requestParameters.withDecryption | security_result.detection_fields .withDecryption.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.responseElements | target.resource.attribute.labels | Vari campi all'interno di responseElements sono mappati alle etichette all'interno dell'attributo della risorsa di destinazione. Consulta il codice del parser per mappature specifiche. |
| Records.0.responseElements.accessKey.accessKeyId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.accessKey.status | target.resource.attribute .labels.Response Access Key Status.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.accessKey.userName | target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.allocationId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .certificate.certificateId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .certificate.status |
target.resource.attribute .labels.Certificate Status.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .certificate.userName |
target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .credentials.accessKeyId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .credentials.sessionToken |
security_result.detection_fields .sessionToken.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createAccountStatus.accountId |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createCollectionDetail.arn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .createCollectionDetail.id |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .deleteCollectionDetail.id |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.description | target.resource.attribute .labels.Response Elements Description.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.destinationId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.detectorId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.directoryId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .domainStatus.aRN |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .domainStatus.domainId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .federatedUser.arn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .federatedUser.federatedUserId |
target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .firewall.firewallArn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .firewall.firewallId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .firewall.firewallName |
target.resource.attribute .labels.Firewall Name.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .flowLogIdSet.item |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.functionArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .group.arn |
target.group.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .group.groupName |
target.group.group_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .image.imageId.imageDigest |
src.file.sha256 | Il campo UDM viene impostato sul valore dopo "sha256:" nel campo del log non elaborato. |
| Records.0.responseElements .image.imageManifestMediaType |
src.file.mime_type | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.instanceArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .instanceProfile.arn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .instancesSet.items.0.instanceId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.keyId | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .keyMetadata.arn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .keyMetadata.encryptionAlgorithms |
security_result.detection_fields .encryptionAlgorithm.value |
Il campo UDM viene impostato sul valore di ogni elemento dell'array dal campo del log non elaborato. |
| Records.0.responseElements .keyMetadata.keyId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.keyPairId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .listeners.0.listenerArn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .listeners.0.loadBalancerArn |
target.resource.ancestors.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .loadBalancers.0.loadBalancerArn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.newAssociationId | target.resource.attribute.labels .responseElements newAssociationId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.packedPolicySize | security_result.detection_fields .packedPolicySize.value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.0.responseElements .publicKey.publicKeyId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.sAMLProviderArn | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .sSHPublicKey.sSHPublicKeyId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .sSHPublicKey.status |
target.resource.attribute .labels.SSH Public Key Status.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .securityGroupRuleSet.items.0.groupId |
security_result.rule_labels.Group Id.value | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol |
network.ip_protocol | Mappatura diretta dal campo del log non elaborato, convertito in maiuscolo. |
| Records.0.responseElements .securityGroupRuleSet.items.0.isEgress |
network.direction | Se il valore è "false", il campo UDM è impostato su "INBOUND". In caso contrario, è impostato su "OUTBOUND". |
| Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId |
security_result.rule_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .serviceSpecificCredential.serviceName |
target.resource.attribute.labels .Specific Credential ServiceName .value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .serviceSpecificCredential.serviceUserName |
target.resource.attribute.labels .Specific Credential Service UserName .value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .serviceSpecificCredential.status |
target.resource.attribute .labels.Specific Credential Status.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .serviceSpecificCredential.userName |
target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.snapshotId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.stackId | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .tableDescription.tableArn |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .tableDescription.tableId |
target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.trailARN | target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .user.arn |
target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .user.userId |
target.user.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .user.userName |
target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements .virtualMFADevice.serialNumber |
target.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.responseElements.volumeId | target.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.resources | target.resource | Il primo elemento dell'array di risorse è mappato alla risorsa di destinazione. Gli altri elementi sono mappati al campo about. |
| Records.0.sharedEventID | additional.fields.SharedEventID .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.sourceIPAddress | principal.asset.ip | Mappatura diretta dal campo del log non elaborato. |
| Records.0.sourceIPAddress | principal.ip | Mappatura diretta dal campo del log non elaborato. |
| Records.0.sourceIPAddress | src_ip | Mappatura diretta dal campo del log non elaborato. |
| Records.0.tlsDetails.cipherSuite | network.tls.cipher | Mappatura diretta dal campo del log non elaborato. |
| Records.0.tlsDetails.clientProvidedHostHeader | security_result.detection_fields .clientProvidedHostHeader.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.tlsDetails.tlsVersion | network.tls.version | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userAgent | network.http.user_agent | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userAgent | network.http.parsed_user_agent | Mappatura diretta dal campo del log non elaborato, analizzato come stringa user agent. |
| Records.0.userIdentity.accessKeyId | additional.fields.accessKeyId .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.accountId | principal.resource.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.accountId | principal.user.group_identifiers | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.arn | principal.resource.name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.arn | principal.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.arn | target.user.attribute .labels.ARN.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.invokedBy | principal.user.userid | Il campo UDM è impostato sul valore precedente a ".amazonaws.com" nel campo del log non elaborato. |
| Records.0.userIdentity.principalId | principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.principalId | principal.user.attribute .labels.principalId.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated |
principal.user.attribute .labels.mfaAuthenticated.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity .sessionContext.sessionIssuer.arn |
target.user.attribute .labels.ARN.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity .sessionContext.sessionIssuer.principalId |
target.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity .sessionContext.sessionIssuer.type |
target.user.attribute .labels.Type.value |
Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity .sessionContext.sessionIssuer.userName |
target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.type | principal.resource.resource_subtype | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.type | principal.resource.type | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.userName | principal.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.userName | src.user.userid | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.userName | src.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.0.userIdentity.userName | target.user.user_display_name | Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .AuthenticationMethod |
additional.fields.AuthenticationMethod .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .CipherSuite |
additional.fields.CipherSuite .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .LoginTo |
additional.fields.LoginTo .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .MFAUsed |
extensions.auth.auth_details | Se il valore è "Sì", il campo UDM è impostato su "MFAUsed: Yes". In caso contrario, è impostato su "MFAUsed: No". |
| Records.1.additionalEventData .MobileVersion |
additional.fields.MobileVersion .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .SamlProviderArn |
additional.fields.SamlProviderArn .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .SignatureVersion |
additional.fields.SignatureVersion .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.additionalEventData .bytesTransferredIn |
network.received_bytes | Mappatura diretta dal campo del log non elaborato, convertito in un numero intero non firmato. |
| Records.1.additionalEventData .bytesTransferredOut |
network.sent_bytes | Mappatura diretta dal campo del log non elaborato, convertito in un numero intero non firmato. |
| Records.1.additionalEventData .x-amz-id-2 |
additional.fields.x-amz-id-2 .value.string_value |
Mappatura diretta dal campo del log non elaborato. |
| Records.1.awsRegion | principal.location.name | Mappatura diretta dal campo del log non elaborato. |
| Records.1.awsRegion | target.location.name | Mappatura diretta dal campo del log non elaborato. |
| Records.1.errorCode | security_result.rule_id | Mappatura diretta dal campo del log non elaborato. |
| Records.1.errorMessage | security_result.description | Il campo UDM è impostato su "Motivo: " concatenato con il valore del campo del log non elaborato. |
| Records.1.eventCategory | security_result.category_details | Mappatura diretta dal campo del log non elaborato. |
| Records.1.eventID | metadata.product_log_id | Mappatura diretta dal campo del log non elaborato. |
| Records.1.eventName | metadata.product_event_type | Mappatura diretta dal campo del log non elaborato. |
| Records.1.eventName | _metadata.event_type | Mappatura eseguita in base al valore del campo del log non elaborato. Consulta il codice del parser per mappature specifiche. |
| Records.1.eventSource | target.application | Mappatura diretta dal campo del log non elaborato. |
| Records.1.eventSource | metadata.ingestion_labels.EventSource | Mappatura diretta dal campo del log non elaborato. |
| Records.1.eventTime | metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato, analizzato come timestamp ISO8601. |
| Records.1.eventVersion | metadata.product_version | Mappatura diretta dal campo del log non elaborato. |
| Records.1.managementEvent | additional.fields.ManagementEvent .value.string_value |
Mappatura diretta dal campo del log non elaborato, convertito in una stringa. |
| Records.1.readOnly | additional.fields.ReadOnly .value |
Modifiche
2024-07-30
- È stata corretta la mappatura di "src_ip" e "event_type" per analizzare i nuovi log.
2024-07-29
- Correzione di bug:
- Quando "eventName" è "GetLoginProfile", mappa "metadata.event_type" a "RESOURCE_READ".
2024-07-24
- È stata modificata la mappatura da "recipientAccountId" a "userIdentity.accountId" e mappata a "additional.fields".
2024-07-23
- "alert_emails" e "owner_names" sono stati mappati a "target.resource.attribute.labels".
2024-07-09
- "eventVersion" è stato mappato a "metadata.product_version".
- È stata mappata la colonna "userIdentity.principalId" alla colonna "principal.user.attribute.labels".
- È stata mappata la colonna "userIdentity.sessionContext.attributes.creationDate" alla colonna "principal.user.attribute.creation_time".
- "userIdentity.sessionContext.sessionIssuer.type" è stato mappato a "target.user.attribute.labels".
- "additionalEventData.bytesTransferredIn" è stato mappato a "network.received_bytes".
- È stata mappata la colonna "additionalEventData.bytesTransferredOut" alla colonna "network.sent_bytes".
- Sono stati mappati "managementEvent", "readOnly", "sharedEventID", "apiVersion", "additionalEventData.x-amz-id-2", "additionalEventData.SignatureVersion", "additionalEventData.AuthenticationMethod", "additionalEventData.CipherSuite" e "additionalEventData.sub" a "additional.fields".
2024-06-24
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
2024-06-24
- È stata aggiornata la mappatura da "principal.resource.type" a "principal.resource.resource_subtype" poiché il campo "principal.resource.type" è deprecato.
2024-05-21
- Quando "requestParameters.bucketPolicy.Statement.n.Resource" è un array, mappa "requestParameters.bucketPolicy.Statement.n.Resource" a "additional.fields".
2024-05-09
- La parte "groupid" è stata mappata da "principal.user.userid" a "principal.user.groupid" e "principal.user.group_identifiers" quando "userid" corrisponde al formato "^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$".
2024-04-30
- "req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress" è stato mappato a "target.resource.attribute.labels".
2024-03-22
- "Noun.user.userid" è stato mappato a "Noun.user.product_object_id".
- "RoleName" mappato da "userIdentity.arn" a "principal.user.role_name" e "principal.user.attribute.roles.name".
- "PolicyName" è stato mappato da "requestParameters.policyArn" a "security_result.rule_name".
2024-03-04
- Per i log con "eventName" uguale a "TerminateInstances":
- Oggetto JSON "responseElements" mappato a "target.resource.attribute.labels".
- "sessionCredentialFromConsole" è stato mappato a "target.resource.attribute.labels".
- Per i log in cui "eventName" è "CreateDomain","DeleteDomain","CreateCollection",
- "DeleteCollection","CreateDBCluster","DeleteDBCluster","StopDBCluster","StartDBCluster",
- "CreateCluster","DeleteCluster", "ListClusters", "CreateNodegroup", "DeleteNodegroup",
- "RegisterCluster", "DeregisterCluster", "DescribeCluster", "DescribeNodegroup", "ListNodegroups".
- Imposta "target.resource.resource_type" su "CLUSTER".
2023-11-21
- "awsRegion" è stato mappato a "target.location.name".
- Per i log con "eventName" come "PutBucketAcl", quando "userIdentity.arn" non è presente, modifica "metadata.event_type" in "STATUS_UPDATE".
- Per i log con "eventName" come prefisso "Get", "List", "Describe", "Detect", "Query", "Check", "Decode",
- "Decripta", "Scarica", "Recupero", "Leggi", "Scopri", "Cerca", "Anteprima", "Esegui la scansione", "Seleziona", "Classifica", "Mostra", "Visualizza":
- Imposta "metadata.event_type" su "RESOURCE_READ".
- Per i log con "eventName" come prefisso "Delete", "Terminate":
- Imposta "metadata.event_type" su "RESOURCE_DELETION".
- Per i log con "eventName" come prefisso "Create", "Put", "Import", "Generate", "Allocate":
- Imposta "metadata.event_type" su "RESOURCE_CREATION".
- Per i log con "eventName" come prefisso "Start", "Activate", "Reboot", "Initialize", "New":
- Imposta "metadata.event_type" su "STATUS_STARTUP".
- Per i log con "eventName" come prefisso "Stop", "Cancel", "Disconnect":
- Imposta "metadata.event_type" su "STATUS_SHUTDOWN".
- Per i log con "eventName" come prefisso "Test", "Accetta", "Invia notifica", "Richiedi", "Convalida", "Conferma", "Rifiuta", "Verifica", "Autorizza", "Completa":
- Imposta "metadata.event_type" su "STATUS_UPDATE".
- Per i log con "eventName" come prefisso "Assume", "ConsoleLogin":
- Imposta "metadata.event_type" su "USER_LOGIN".
- Per i log con "eventName" uguale a "SendHeartbeat":
- Imposta "metadata.event_type" su "STATUS_HEARTBEAT".
- Per i log con "eventName" come prefisso "Initiate", "Publish", "Replace", "Resume", "Run", "Submit", "Suspend",
- "Alter", "Aumenta", "Invita", "Esegui il provisioning", "Aggiorna", "Report", "Esegui l'upgrade", "Interrompi", "Applica", "Esegui il backup", "Diminuisci",
- "Unisci", "Riprova", "Ruota", "Rotazione", "Trasferisci", "Rimuovi assegnazione", "Analizza", "Archivia", "Beta_", "Cancella", "Configura",
- "Confirm_", "Do", "Evaluate", "Failover", "Forgot", "Lock", "Migrate", "O", "Process", "Promote", "Release", "Renew",
- "Firma", "Elimina dall'archivio", "Rimuovi dalla lista delle funzionalità ritirate", "Sblocca", "Acconsenti", "Approva", "Connetti", "Continua", "Rifiuta", "Esegui il deployment",
- "Diagnostic", "Drop", "Exit", "Finalize", "Flush", "Forget", "Grant", "Issue", "Logout", "Move", "Opt", "Pause",
- "Ricostruisci", "Utilizza", "Riproduzione", "Riavvia", "S", "Salva", "Abbonati", "Sincronizza", "Scollega", "Annulla l'iscrizione", "Riattiva",
- "Consenti", "Ato", "Indietro", "Backtrack", "Offerta", "Associa", "Compila", "Bundle", "Clona", "Chiudi", "Cognito", "Console", "Rimuovi",
- "Disassocia", "Fine", "Registra", "Inserisci", "Ambiente", "Event_", "Escludi", "Globale", "Includi", "Indice", "Inserisci", "Installa",
- "Annulla", "Unisci", "Esci", "Carica", "Gestito", "Segna", "Monitora", "Peer", "Mantieni", "Prepara", "Pubkey", "Svuota", "Push",
- "Riequilibra", "Registra", "Recupero", "Oscuramento", "Rifiuta", "Invita di nuovo", "Ricarica", "Rinomina", "Rispondi", "Ricarica", "Ritiro", "Indietro",
- "Rollback", "Pianifica", "Segnale", "Spegni", "Salta", "Dividi", "Stream", "Scambia", "Passa", "Attiva/Disattiva", "Token_",
- "Traduci", "Taglia", "Rimuovi autorizzazione", "Rimuovi deployment", "Rimuovi monitoraggio", "Rimuovi peer", "Usa":
- Imposta "metadata.event_type" su "RESOURCE_WRITTEN".
- Per i log con "eventName" come prefisso "Update", "Associate", "Disassociate", "Modify", "Set", "Register", "Deregister",
- "Aggiungi", "Rimuovi", "Attiva", "Disattiva", "Invia", "Ripristina", "Reimposta", "Allega", "Scollega", "Esporta", "Copia", "Tagga",
- "Rimuovi tag", "Esegui", "Acquista", "Alloca", "Disattiva", "Pubblica", "Invia di nuovo", "Carica", "Assegna", "Cambia", "Definisci",
- "Rimuovi", "Richiama", "Revoca:
- Imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE".
2023-11-11
- Inizializza le variabili su null o vuote per evitare mappature duplicate.
- Quando "requestParameters.tagSpecificationSet.items.key" è "Hostname" , mappa a "target.hostname".
2023-10-27
- Per i log con "eventName" come "AssociateIamInstanceProfile":
- "responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.name".
- "responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.product_object_id".
- Imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE".
- Imposta "target.resource.resource_type" su "ACCESS_POLICY".
- Per i log con "eventName" uguale a "DisassociateIamInstanceProfile":
- "responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.name".
- "responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.product_object_id".
- Imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE".
- Imposta "target.resource.resource_type" su "ACCESS_POLICY".
- Per i log con "eventName" uguale a "ReplaceIamInstanceProfileAssociation":
- "responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.name".
- "responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid" è stato mappato a "target.resource.product_object_id".
- Imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE".
- Imposta "target.resource.resource_type" su "ACCESS_POLICY".
- Oggetto JSON "requestParameters" e "responseElements" mappato a "target.resource.attribute.labels".
- Errore di battitura corretto per "req.userIdentity.userName" da "req.userIdentity.username".
2023-10-13
- Per i log con "eventName" uguale a "UpdateDetector":
- "requestParameters.features.name" e "requestParameters.features.status" sono stati mappati a "target.resource.attribute.labels".
- Per i log con "eventName" uguale a "SendCommand":
- "requestParameters.documentName" è stato mappato a "target.resource.product_object_id".
- "responseElements.command.commandId" è stato mappato a "target.process.product_specific_object.id".
- "metadata.event_type" è stato mappato a "PROCESS_LAUNCH".
- "requestParameters.documentName" è stato mappato a "target.resource.name".
- Sono stati mappati tutti i parametri in "requestParameters" e "responseElements" a "target.resource.attribute.labels".
- Per i log con "eventName" come "createAccountResult", mappa "event_type" come "USER_RESOURCE_ACCESS".
- Per i log con "eventName" come "createAccount", mappa "event_type" come "RESOURCE_CREATION".
2023-09-30
- Aggiungi nuove mappature per i seguenti campi:
- "req.requestParameters.durationSeconds" è stato mappato a "target.resource.attribute.labels".
- "req.requestParameters.policyArns" è stato mappato a "target.resource.attribute.labels".
- Per i log con "eventName" come "GetParameter", "GetParameters", "GetParameterHistory", "GetParametersByPath", "DescribeParameters":
- "metadata.event_type" è stato mappato a "RESOURCE_READ".
- "req.requestParameters.withDecryption" è stato mappato a "security_result.detection_fields".
- Per i log con "eventName" come "DeleteParameters","DeleteParameter", imposta "metadata.event_type" su "RESOURCE_DELETION".
- Per i log con "eventName" come "PutParameter", imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE".
- Per i log con "eventName" come "EnableRegion" o "DisableRegion", imposta "target.resource.name" da "req.requestParameters.map.RegionName".
- Per i log con "eventName" uguale a "GetFederationToken":
- "metadata.event_type" è stato mappato a "RESOURCE_READ".
- "req.responseElements.federatedUser.arn" è stato mappato a "target.resource.name".
- "req.responseElements.federatedUser.federatedUserId" è stato mappato a "target.user.userid".
- "req.responseElements.packedPolicySize" è stato mappato a "security_result.detection_fields".
- "req.responseElements.credentials.sessionToken" è stato mappato a "security_result.detection_fields".
2023-09-15
- Aggiungi nuove mappature per i seguenti campi:
- "requestParameters.userName" è stato mappato a "target.user.user_display_name".
- "additionalEventData.SamlProviderArn" è stato mappato a "additional.fields".
- "eventSource" è stato mappato a "metadata.ingestion_labels".
- Quando il valore di "requestParameters.tagSpecificationSet.items.tags.key" è "Name", mappa "requestParameters.tagSpecificationSet.items.tags.value" a "target.resource.name".
2023-08-24
- Per i log con "eventName" uguale a "CreateFirewall" ed "DeleteFirewall" :
- "responseElements.firewallARN" è stato mappato a "target.resource.name".
- "responseElements.firewallId" è stato mappato a "target.resource.product_object_id".
- "responseElements.firewallName" è stato mappato a "target.resource.attribute.labels".
- "target.resource_subtype" è stato mappato come "Firewall".
- "target.resource.resource_type" è stato mappato come "FIREWALL_RULE".
2023-08-24
- Per i log con "eventName" come "CreateSubnet", imposta "metadata.event_type" su "RESOURCE_CREATION".
- "req.responseElements.subnet.subnetId" è stato mappato a "target.resource.attribute.labels".
- "req.requestParameters.cidrBlock" è stato mappato a "target.resource.attribute.labels".
- Per i log con "eventName" uguale a "DeleteSubnet", imposta "metadata.event_type" su "RESOURCE_DELETION".
- "req.requestParameters.subnetId" è stato mappato a "target.resource.attribute.labels".
2023-08-16
- Per i log con "eventName" come "DeleteSecret", è stato mappato "responseElements.arn" a "target.resource.name".
2023-08-02
- Per i log con "eventName" come "CreateTags", è stato mappato "metadata.event_type" a "RESOURCE_WRITTEN".
- "responseElements.description" ,"requestParameters.name","requestParameters.tagSet.items", "requestParameters.attributeType" sono stati mappati a "target.resource.attribute.labels".
- Imposta "metadata.event_type" su "RESOURCE_CREATION" per i log con il seguente "eventName":
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet",
- "CreateAddon","CreateRepository","CreateStack","CreateDomain","CreateCollection","CreateTable",
- "CreateDBInstance","CreateDBCluster","CreateDBSnapshot","CreateDBClusterSnapshot","PutConfigRule",
- "PutDeliveryChannel","CreateListener","CreateLoadBalancer","PutLoggingConfiguration","CreateTargetGroup",
- "CreateWebACL","RequestCertificate","CreateCluster"
- Imposta "metadata.event_type" su "RESOURCE_WRITTEN" per i log con il seguente "eventName":
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet","CreateTags",
- "UpdateTable","ModifyDBInstance","StopDBInstance","StartDBInstance","RebootDBInstance",
- "StartDBCluster","StopDBCluster","ModifyDBSnapshotAttribute","ModifyDBClusterSnapshotAttribute",
- "AddListenerCertificates","ModifyLoadBalancerAttributes","SetSubnets","SetSecurityGroups",
- "ModifyListener","UpdateWebACL","ResendValidationEmail","ModifyInstanceAttribute",
- "StopInstances","StartInstances","RebootInstances"
- Imposta "metadata.event_type" su "RESOURCE_WRITTEN" per i log con il seguente "eventName".
- "DeletePublishingDestination","DeleteIPSet","DeleteThreatIntelSet","DeleteRepository",
- "DeleteStack","DeleteCollection","DeleteDomain","DeleteTable","DeleteDBInstance","DeleteDBCluster",
- "DeleteDBSnapshot","DeleteDBClusterSnapshot","DeleteConfigRule","DeleteEvaluationResults",
- "DeleteTargetGroup","DeleteLoadBalancer","DeleteListener","DeleteLoggingConfiguration",
- "DeleteWebACL","DeleteCertificate","DeleteCluster"
- Imposta "metadata.event_type" su "RESOURCE_PERMISSIONS_CHANGE" per i log con il seguente "eventName":
- "AssociateWebACL","DisassociateWebACL","AttachGroupPolicy","PutBucketAcl"
- Imposta "metadata.event_type" su "RESOURCE_READ" per i log con il seguente "eventName":
- "GetPasswordData","GetSessionToken"
- "target.resource.resource_type" mappato e altri campi non mappati per i nomi di eventi sopra indicati.
2023-07-18
- Per i log con il seguente "eventName", mappa "metadata.event_type" a "RESOURCE_CREATION".
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization", "CreateNetworkInterface",
- "StartSSO","CreateEmailIdentity","VerifyDomainIdentity","VerifyDomainDkim","VerifyEmailIdentity",
- "CreateConfigurationSet","CreateSecret","ImportKeyPair","CreateAlias","CreateKey","CreateOrganizationalUnit",
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet"
- Per i log con il seguente "eventName", è stato mappato "metadata.event_type" a "RESOURCE_WRITTEN".
- "UpdateMacieSession","PutAccountSendingAttributes","PutConfigurationSetSendingOptions","UpdateAccountSendingEnabled",
- "UpdateConfigurationSetSendingEnabled","UpdateSecret","DisableKey","EnableKey","CancelKeyDeletion",
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet"
- Per i log con il seguente "eventName", è stato mappato "metadata.event_type" a "RESOURCE_DELETION".
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances", "RESOURCE_DELETION",
- "DeleteNetworkInterface","DeleteSSO","DeleteBucketPublicAccessBlock","DeleteAccountPublicAccessBlock",
- "RemoveAccountFromOrganization","DeleteEmailIdentity","LeaveOrganization","DeleteConfigurationSet",
- "DeleteSecret","DeleteKeyPair","DeleteAlias","ScheduleKeyDeletion","DeleteNetworkAcl",
- "DeletePublishingDestination","DeleteIPSet","DeleteThreatIntelSet"
- Per i log con il seguente "eventName", è stato mappato "metadata.event_type" a "RESOURCE_PERMISSIONS_CHANGE".
- "DetachRolePolicy","PutRolePolicy","PutResourcePolicy","PutCredentials","DeleteDirectory",
- "AuthorizeSecurityGroupEgress","AuthorizeSecurityGroupIngress","RevokeSecurityGroupEgress","RevokeSecurityGroupIngress",
- "ModifySnapshotAttribute","ModifyImageAttribute","CreateNetworkAclEntry","ReplaceNetworkAclAssociation","DeleteNetworkAclEntry"
- "target.resource.resource_type" mappato e altri campi non mappati per i nomi eventName sopra indicati.
- È stato aggiunto un controllo null prima del campo di mappatura "userIdentity.invokedBy".
2023-07-06
- È stato aggiunto il controllo null prima della mappatura del campo "userIdentity.invokedBy".
- "requestParameters.instanceType","requestParameters.instancesSet.items.0.minCount","requestParameters.instancesSet.items.0.maxCount" sono stati mappati a "target.resource.attribute.labels".
2023-06-23
- ha mappato i log a "metadata.event_type" più specifici in base al campo "eventname".
- "target.resource.resource_type" è stato mappato come "VIRTUAL_MACHINE".
- "requestParameters.status" e "responseElements.certificate.status" sono stati mappati a "target.resource.attribute.labels".
- "requestParameters.instanceId" è stato mappato a "target.resource_ancestors.product_object_id".
- "requestParameters.userName" è stato mappato a "target.user.userid".
- "target.resource.name" e "target.resource.product_object_id" sono stati mappati in base alle chiavi presenti in ogni "eventName".
- "userIdentity.arn" è stato mappato a "principal.resource.name".
- "userIdentity.accountId" è stato mappato a "principal.resource.product_object_id".
- Per i log con "eventName" come segue, è stato mappato "metadata.event_type" a "RESOURCE_CREATION".
- "CreateTrail","AllocateAddress","CreateVolume","CreateVirtualMFADevice","UploadSigningCertificate",
- "CreateAccessKey","UploadSSHPublicKey","CreateServiceSpecificCredential","UploadCloudFrontPublicKey",
- "CreateAnalyzer","CreateSAMLProvider","PutConfigurationRecorder","CreateRole","CreateInstanceProfile",
- "CreateExportTask","CreateLogGroup","EnableSecurityHub","CreateEnvironment","CreateSession","CreateServiceLinkedRole",
- "CreateSnapshot","CreateKeyPair","CreateSecurityGroup","CreateDetector","CreateFlowLogs",
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization"
- Per i log con "eventName" come segue, è stato mappato "metadata.event_type" a "RESOURCE_WRITTEN".
- "StartLogging","StopLogging","AssociateAddress","DisassociateAddress","DetachVolume",
- "AttachVolume","ModifyVolume","EnableMFADevice","ResyncMFADevice","UpdateSigningCertificate",
- "UpdateAccessKey","UpdateSSHPublicKey","ResetServiceSpecificCredential","UpdateServiceSpecificCredential",
- "UpdateCloudFrontPublicKey","DisableRegion","EnableRegion","UpdateSAMLProvider","StartConfigurationRecorder",
- "StopConfigurationRecorder","PutRetentionPolicy","PutDataProtectionPolicy","UpdateDetector","UpdateMacieSession"
- Per i log con "eventName" come segue, è stato mappato "metadata.event_type" a "RESOURCE_DELETION".
- "DeleteTrail","ReleaseAddress","DeleteVolume","DeactivateMFADevice","DeleteVirtualMFADevice",
- "DeleteSigningCertificate","DeleteAccessKey","DeleteSSHPublicKey","DeleteServiceSpecificCredential",
- "DeleteCloudFrontPublicKey","DeleteAnalyzer","DeleteSAMLProvider","DeleteConfigurationRecorder",
- "DeletePolicy","DeleteRole","DeleteInstanceProfile","DeleteLogGroup","DisableSecurityHub","DisableMacie",
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances"
- Per i log con "eventName" come segue, è stato mappato "metadata.event_type" a "RESOURCE_PERMISSIONS_CHANGE".
- "AttachUserPolicy","DetachUserPolicy","PutUserPolicy","DeleteUserPolicy",
- "PutUserPermissionsBoundary","DeleteUserPermissionsBoundary","AttachRolePolicy",
- "DetachRolePolicy","PutRolePolicy","PutResourcePolicy","PutCredentials","DeleteDirectory"
2023-06-09
- È stata modificata la regex per identificare i log dell'array JSON.
2023-06-07
- Sono stati mappati tutti i campi "principal.user" a "target.user" per "eventName" come "ConsoleLogin".
2023-05-26
- Log analizzati con pattern JSON diversi.
- "cipherSuite" è stato mappato a "network.tls.cipher".
- "requestID" è stato mappato a "target.resource.attribute.labels".
- "assumedRoleId" è stato mappato a "security_result.about.resource.name".
- "roleSessionName" è stato mappato a "target.resource.name".
- "roleArn" è stato mappato a "target.resource.product_object_id".
- "userAgent" è stato mappato a "network.http.user_agent".
- "sourceIPAddress" è stato mappato a "principal.ip".
- "sessionIssuer.userName" è stato mappato a "target.user.user_display_name".
- "sessionIssuer.principalId" è stato mappato a "target.user.userid".
- "userIdentity.accessKeyId" è stato mappato a "target.resource.product_object_id".
- "userIdentity.arn" è stato mappato a "security_result.about.resource.id".
- "req.detail.Longitude" è stato mappato a "_principal.location.region_longitude".
- "req.detail.Latitude" è stato mappato a "_principal.location.region_latitude".
- "detail.resourceType" è stato mappato a "target.resource.resource_subtype".
- Imposta "security_result.alert_state" su "ALERTING".
- "req.detail.recommendRemediation" è stato mappato a "security_result.action_details".
- "eventLog.detail.eventName" è stato mappato a "metadata.product_event_type".
2023-02-23
- "requestParameters.principalArn" è stato mappato a "principal.resource.name".
- "resources.ARN" è stato mappato a "about.resource.name".
2022-11-24
- Correzione:
- Sono stati analizzati i log del nuovo formato che contengono configurationItem mappando i seguenti campi.
- "configurationItem.awsAccountId" è stato mappato a "principal.user.userid".
- "configurationItem.resourceId" è stato mappato a "target.resource.id".
- "configurationItem.resourceType" è stato mappato a "target.resource.resource_subtype"
- "configurationItem.awsRegion" è stato mappato a "target.location.country_or_region".
- "configurationItem.configurationItemCaptureTime" è stato mappato a "target.asset.attribute.creation_time".
- "configurationItem.configurationItemStatus" è stato mappato a "target.asset.attribute.labels".
- "configurationItems.ARN" è stato mappato a "target.resource.attribute.labels".
- È stata mappata "configurationItems.availabilityZone" a "target.resource.attribute.cloud.availability_zone".
- "configurationItems.awsRegion" è stato mappato a "target.location.country_or_region".
- "configurationItems.awsAccountId" è stato mappato a "principal.user.userid".
- "configurationItems.configuration.activityStreamStatus" è stato mappato a "target.resource.attribute.labels".
- "configurationItems.configuration.allocatedStorage" è stato mappato a "target.resource.attribute.labels".
- "configurationItems.configuration.autoMinorVersionUpgrade" è stato mappato a "target.resource.attribute.labels".
- "configurationItems.configuration.backupRetentionPeriod" è stato mappato a "target.resource.attribute.labels".
- "configurationItems.configuration.copyTagsToSnapshot" è stato mappato a "target.resource.attribute.labels".
- È stata mappata la risorsa "configurationItems.configuration.dbClusterResourceId" a "target.resource.product_object_id".
- "configurationItems.configuration.masterUsername" è stato mappato a "principal.user.user_display_name".
- "configurationItems.resourceName" è stato mappato a "target.resource.name".
2022-10-13
- Per "eventName": "CreateAccessKey" è stato mappato il campo "responseElements.accessKey.accessKeyId" a "target.resource.product_object_id".
- Per "eventName": "UpdateAccessKey" è stato mappato il campo "requestParameters.accessKeyId" a "target.resource.product_object_id".
- Per "eventName": "DeleteAccessKey" è stato mappato il campo "requestParameters.accessKeyId" a "target.resource.product_object_id".
- Per "eventName": "CreateUser" è stato mappato il campo "responseElements.user.userId" a "target.user.product_object_id".
- Il campo "eventTime" è stato mappato a "metadata.collected_timestamp".
2022-07-27
- È stato aggiunto eventType "QueryDatabase" e sono stati mappati i relativi campi.
- Condizioni modificate per principal.ip o principal.host per la gestione dei nuovi log.
- È stata modificata la mappatura di "requestParameters.roleArn", "requestParameters.registryId", "resources.accountId" da "target.resource.id" a "target.resource.product_object_id".
- È stata modificata la condizione di analisi per "req_params" per estrarre i valori.
2022-07-08
- Mappatura modificata per "req.requestParameters.roleName" da "target.user.role_name" a "target.user.attribute.roles".
2022-07-06
- È stata modificata la mappatura di "req.awsRegion" da "_principal.location.country_or_region" a "_principal.location.name".
- Modifica di event_type da "GENERIC_EVENT" a "USER_LOGIN" per eventName "AssumeRole".
- Modifica di event_type da "GENERIC_EVENT" a "USER_RESOURCE_ACCESS" per eventNAme "PutImage" o "GetDownloadUrlForLayer" o "BatchGetImage".
- Modifica di event_type da "GENERIC_EVENT" a "USER_RESOURCE_DELETION" per eventName "DeleteNetworkInterface".
2022-06-06
- Per eventName "CreateUser/DeleteUser", la condizione modificata per la gestione della mappatura dell'origine come esistente non è riuscita per i nuovi log.
- È stato modificato il campo puserId per gestire il nuovo log non analizzato.
2022-05-27
- Miglioramento per mappare i seguenti elementi dei log non elaborati agli elementi UDM:
- "awsAccountId" mappato a "target.user.group_identifiers".
- "digestS3Bucket" mappato a "target.resource.name".
- "digestS3Object" mappato a "target.file.full_path".
- "previousDigestHashValue" mappato a "target.file.sha256".
- "digestSignatureAlgorithm" mappato a "event.idm.read_only_udm.additional.fields".
- "digestPublicKeyFingerprint" mappato a "event.idm.read_only_udm.additional.fields".
- "logFiles.s3Bucket" mappato a "about_resource.resource.name".
- "logFiles.s3Object" mappato a "about_resource.file.full_path".
- "logFiles.hashValue" mappato a "about_resource.file.sha256".
2022-05-27
- Miglioramento: il valore memorizzato in metadata.product_name è stato modificato in "AWS CloudTrail".
2022-04-13
- Miglioramento per mappare i seguenti elementi dei log non elaborati agli elementi UDM:
- Campo mappato "requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls", "additionalEventData.configRuleInputParameters.RestrictPublicBuckets", "additionalEventData.configRuleInputParameters.BlockPublicPolicy", "additionalEventData.configRuleInputParameters.BlockPublicAcls", "additionalEventData.configRuleInputParameters.IgnorePublicAcls" a "target.resource.attribute.labels".