收集 AWS CloudTrail 日志
支持的平台:
Google SecOps
SIEM
本文档详细介绍了配置将 AWS CloudTrail 日志和上下文数据注入 Google Security Operations 的步骤。这些步骤也适用于将其他 AWS 服务(例如 AWS GuardDuty、AWS VPC Flow、AWS CloudWatch 和 AWS Security Hub)的日志提取到 Chronicle 中。
为了注入事件日志,该配置会将 CloudTrail 日志引导至 Amazon Simple Storage Service (Amazon S3) 存储桶。您可以选择 Amazon Simple Queue Service (Amazon SQS) 或 Amazon S3 作为 Feed 来源类型。
本文档的第一部分简要介绍了如何将 Amazon S3 用作 Feed 来源类型,或者最好将 Amazon S3 与 Amazon SQS 搭配使用作为 Feed 来源类型。第二部分提供了有关使用 Amazon S3 作为 Feed 来源类型的更详细的步骤和屏幕截图。第二部分未介绍如何使用 Amazon SQS。第 3 部分介绍了如何注入与主机、服务、VPC 网络和用户相关的 AWS 上下文数据。
使用或不使用 SQS 从 S3 注入日志的基本步骤
本部分介绍了将 AWS CloudTrail 日志注入 Google Security Operations 实例的基本步骤。这些步骤介绍了如何使用 Amazon S3 作为 Feed 来源类型,并将 Amazon SQS 作为 Feed 来源类型(或者也可以选择使用 Amazon S3 作为 Feed 来源类型)来实现此目的。
配置 AWS CloudTrail 和 S3
在此过程中,您需要配置 AWS CloudTrail 日志以写入 S3 存储桶。
- 在 AWS 控制台中,搜索 CloudTrail。
- 点击 Create trail。
- 提供跟踪名称。
- 选择 Create new S3 bucket。您也可以选择使用现有的 S3 存储桶。
- 提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。
- 您可以将其他设置保留为默认值,然后点击 Next。
- 选择事件类型,根据需要添加数据事件,然后点击下一步。
- 在检查并创建中检查设置,然后单击创建跟踪。
- 在 AWS 控制台中,搜索 Amazon S3 Buckets。
- 点击新创建的日志存储桶,然后选择文件夹 AWSLogs。然后点击复制 S3 URI 并保存,以便在后面的步骤中使用。
创建 SQS 队列
建议使用 SQS 队列。如果您使用 SQS 队列,则必须使用标准队列,而不是 FIFO 队列。
如需详细了解如何创建 SQS 队列,请参阅 Amazon SQS 使用入门。
设置 SQS 队列的通知
如果您使用 SQS 队列,请在 S3 存储桶上设置通知,以便写入 SQS 队列。请务必附加访问权限政策。
配置 AWS IAM 用户
配置一个 AWS IAM 用户,Google 安全运营团队将使用该用户访问 SQS 队列(如果使用)和 S3 存储桶。
- 在 AWS 控制台中,搜索 IAM。
- 点击用户,然后在以下屏幕中点击添加用户。
- 为用户提供一个名称(例如 chronicle-feed-user),对于选择 AWS 凭据类型,选择访问密钥 - 程序化访问,然后点击下一步:权限。
- 在下一步中,选择 Attach existing policies directly,然后根据需要选择 AmazonS3ReadOnlyAccess 或 AmazonS3FullAccess。如果 Google 安全运营团队在读取日志后应清理 S3 存储分区,则将使用 AmazonS3FullAccess,以优化 AWS S3 存储费用。
- 作为上一步的建议替代步骤,您可以通过创建自定义政策进一步限制为仅可访问指定的 S3 存储桶。点击Create policy,然后按照 AWS 文档创建自定义政策。
- 应用政策时,请务必添加
sqs:DeleteMessage。如果未将sqs:DeleteMessage权限附加到 SQS 队列,Google Security Operations 将无法删除消息。所有消息都会在 AWS 端累积,这会导致 Google 安全运营团队反复尝试传输相同的文件,从而导致延迟。 - 点击 Next: Tags。
- 添加任何所需标记,然后点击 Next: Review。
- 检查配置,然后点击 Create user。
- 复制已创建用户的 Access key ID 和 Secret access key,以便在下一步中使用。
创建 Feed
完成上述步骤后,创建一个 Feed,以便将 AWS 日志从 Amazon S3 存储桶注入到 Google 安全运营实例中。如果您不使用 SQS 队列,请在以下步骤中为 Feed 来源类型选择 Amazon S3,而不是 Amazon SQS。
如需创建 Feed,请执行以下操作:
- 在导航栏中,依次选择设置 > SIEM 设置,然后选择 Feed。
- 在 Feed 页面上,点击 Add New(添加新 Feed)。
- 在添加 Feed 对话框中,使用来源类型对话框选择 Amazon SQS 或 Amazon S3。
- 在 Log Type 菜单中,选择 AWS CloudTrail(或其他 AWS 服务)。
- 点击下一步。
在相应字段中输入 Feed 的输入参数。
如果 Feed 来源类型为 Amazon S3,请执行以下操作:选择区域并提供您之前复制的 Amazon S3 存储桶的 S3 URI。您还可以使用该变量附加 S3 URI。
{{datetime("yyyy/MM/dd")}}s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/对于 URI IS A,请选择目录(包括子目录)。在来源删除选项下选择适当的选项。确保该角色与您之前创建的 IAM 用户账号的权限相匹配。
提供您之前创建的 IAM 用户账号的访问密钥 ID 和私有访问密钥。
点击 Next 和 Finish。
从 S3 注入日志的详细步骤
配置 AWS CloudTrail(或其他服务)
完成以下步骤以配置 AWS CloudTrail 日志,使得这些日志写入之前创建的 AWS S3 存储桶:
- 在 AWS 控制台中,搜索 CloudTrail。
点击 Create trail。
提供跟踪名称。
选择 Create new S3 bucket。您也可以选择使用现有的 S3 存储桶。
提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。
您可以将其他设置保留为默认值,然后点击 Next。
选择事件类型,根据需要添加数据事件,然后点击下一步。
在检查并创建中检查设置,然后单击创建跟踪。
在 AWS 控制台中,搜索 Amazon S3 Buckets。
点击新创建的日志存储桶,然后选择文件夹 AWSLogs。然后点击复制 S3 URI 并保存,以便在后面的步骤中使用。
配置 AWS IAM 用户
在此步骤中,我们将配置一名 AWS IAM 用户,Google 安全运营团队将使用该用户从 AWS 获取日志 Feed。
在 AWS 控制台中,搜索 IAM。
点击用户,然后在以下屏幕中点击添加用户。
为用户提供一个名称(例如 chronicle-feed-user),对于选择 AWS 凭据类型,选择访问密钥 - 程序化访问,然后点击下一步:权限。
在下一步中,选择 Attach existing policies directly,然后根据需要选择 AmazonS3ReadOnlyAccess 或 AmazonS3FullAccess。如果 Google 安全运营团队在读取日志后应清理 S3 存储分区,则将使用 AmazonS3FullAccess,以优化 AWS S3 存储费用。点击下一步:标记。
作为上一步的建议替代步骤,您可以通过创建自定义政策进一步限制为仅可访问指定的 S3 存储桶。点击Create policy,然后按照 AWS 文档创建自定义政策。
添加任何所需标记,然后点击 Next: Review。
检查配置,然后点击 Create user。
复制已创建用户的 Access key ID 和 Secret access key,以便在下一步中使用。
在 Google Security Operations 中配置 Feed 以提取 AWS 日志
- 前往 Google Security Operations 设置,然后点击 Feed。
- 点击新增。
- 选择 Amazon SQS 或 Amazon S3 作为 Feed 来源类型。
- 对于日志类型,选择 AWS CloudTrail(或其他 AWS 服务)。
- 点击下一步。
选择区域并提供您之前复制的 Amazon S3 存储桶的 S3 URI。此外,您可以将以下内容附加到 S3 URI:
{{datetime("yyyy/MM/dd")}}如以下示例所示,这样 Google 安全运营团队每次都只扫描特定日期的日志:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/在 URI IS A 下,选择目录(包括子目录)。在来源删除选项下选择适当的选项,这应与我们之前创建的 IAM 用户账号的权限相匹配。
提供我们之前创建的 IAM 用户账号的访问密钥 ID 和私有访问密钥。
点击下一步,然后点击完成。
注入 AWS 情境数据的步骤
如需注入与 AWS 实体(例如主机、实例和用户)相关的上下文数据,请为以下各类日志创建 Feed,并按说明和注入标签进行列出:
- AWS EC2 主机 (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需为每种日志类型创建 Feed,请按以下步骤操作:
- 在导航栏中,依次选择设置、SIEM 设置和 Feed。
- 在 Feed 页面上,点击 Add New(添加新 Feed)。系统随即会显示添加 Feed 对话框。
- 在来源类型菜单中,选择第三方 API。
- 在日志类型菜单中,选择 AWS EC2 主机。
- 点击下一步。
- 在相应字段中输入 Feed 的输入参数。
- 点击下一步,然后点击完成。
如需详细了解如何为每种日志类型设置 Feed,请参阅以下 Feed 管理文档:
- AWS EC2 主机 (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPC (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需了解如何创建 Feed 的一般信息,请参阅 Feed 管理用户指南或 Feed 管理 API。
字段映射参考文档
此解析器代码会处理 JSON 格式的 AWS CloudTrail 日志。它首先提取并构建原始日志消息,然后迭代“Records”数组中的每个记录,将单个事件标准化为与多事件相同的格式。最后,它会将提取的字段映射到 Google Security Operations UDM 架构,通过额外的上下文和安全相关信息来丰富数据。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| Records.0.additionalEventData .AuthenticationMethod |
additional.fields .AuthenticationMethod.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .CipherSuite |
additional.fields .CipherSuite.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .LoginTo |
additional.fields .LoginTo.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .MFAUsed |
extensions.auth.auth_details | 如果值为“是”,则 UDM 字段设置为“MFAUsed: Yes”。否则,将其设置为“MFAUsed: No”。 |
| Records.0.additionalEventData .MobileVersion |
additional.fields .MobileVersion.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .SamlProviderArn |
additional.fields .SamlProviderArn.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .SignatureVersion |
additional.fields .SignatureVersion.value.string_value |
从原始日志字段直接映射。 |
| Records.0.additionalEventData .bytesTransferredIn |
network.received_bytes | 从原始日志字段直接映射,转换为无符号整数。 |
| Records.0.additionalEventData .bytesTransferredOut |
network.sent_bytes | 从原始日志字段直接映射,转换为无符号整数。 |
| Records.0.additionalEventData .x-amz-id-2 |
additional.fields .x-amz-id-2.value.string_value |
从原始日志字段直接映射。 |
| Records.0.awsRegion | principal.location.name | 从原始日志字段直接映射。 |
| Records.0.awsRegion | target.location.name | 从原始日志字段直接映射。 |
| Records.0.errorCode | security_result.rule_id | 从原始日志字段直接映射。 |
| Records.0.errorMessage | security_result.description | UDM 字段设置为“原因:”与原始日志字段中的值串联。 |
| Records.0.eventCategory | security_result.category_details | 从原始日志字段直接映射。 |
| Records.0.eventID | metadata.product_log_id | 从原始日志字段直接映射。 |
| Records.0.eventName | metadata.product_event_type | 从原始日志字段直接映射。 |
| Records.0.eventName | _metadata.event_type | 根据原始日志字段的值进行映射。如需了解具体映射,请参阅解析器代码。 |
| Records.0.eventSource | target.application | 从原始日志字段直接映射。 |
| Records.0.eventSource | metadata.ingestion_labels.EventSource | 从原始日志字段直接映射。 |
| Records.0.eventTime | metadata.event_timestamp | 从原始日志字段直接映射,解析为 ISO8601 时间戳。 |
| Records.0.eventVersion | metadata.product_version | 从原始日志字段直接映射。 |
| Records.0.managementEvent | additional.fields.ManagementEvent .value.string_value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.readOnly | additional.fields.ReadOnly .value.string_value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.recipientAccountId | principal.user.group_identifiers | 从原始日志字段直接映射。 |
| Records.0.recipientAccountId | target.resource.attribute .labels.Recipient Account Id.value |
从原始日志字段直接映射。 |
| Records.0.requestID | target.resource.attribute .labels.Request ID.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters | target.resource.attribute .labels |
requestParameters 中的各种字段会映射到目标资源属性中的标签。如需了解具体映射,请参阅解析器代码。 |
| Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters.accessKeyId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.allocationId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.associationId | target.resource.attribute .labels.requestParameters associationId.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.certificateId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters .configurationRecorder.name |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters .configurationRecorderName |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters .createVolumePermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .createVolumePermission.add.items.0.userId |
target.resource.attribute .labels.Add Items UserId.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .createVolumePermission.remove.items.0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.detectorId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.destinationId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.directoryId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.documentName | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.egress | target.resource.attribute .labels.requestParameters egress.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.emailIdentity | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.enabled | target.resource.attribute .labels.Request Enabled.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value |
target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.functionName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters .granteePrincipal |
principal.hostname | 从原始日志字段直接映射。 |
| Records.0.requestParameters .granteePrincipal |
principal.asset.hostname | 从原始日志字段直接映射。 |
| Records.0.requestParameters.groupId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.groupName | target.group.group_display_name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.imageId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.instanceId | target.resource_ancestors.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters .instanceProfileName |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.instanceType | target.resource.attribute .labels.Instance Type.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .instancesSet.items.0.instanceId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters .instancesSet.items.0.maxCount |
target.resource.attribute .labels.Instance Set Max Count.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .instancesSet.items.0.minCount |
target.resource.attribute .labels.Instance Set Min Count.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp |
target.resource.attribute .labels.ipPermissions cidrIp.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.keyId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters. launchPermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn |
target.resource.attribute.labels .Add Items OrganizationalUnitArn .value |
从原始日志字段直接映射。 |
| Records.0.requestParameters. launchPermission.add.items .0.userId |
target.resource.attribute .labels.Add Items UserId.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn |
target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value |
从原始日志字段直接映射。 |
| Records.0.requestParameters. launchPermission.remove.items .0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.loadBalancerArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.logGroupIdentifier | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.logGroupName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.name | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.name | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.networkAclId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters .networkInterfaceId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.parentId | target.resource_ancestors.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.policyArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters .policyArns.0.arn |
target.resource.attribute .labels.Policy ARN 0.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .policyArns.1.arn |
target.resource.attribute .labels.Policy ARN 1.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.policyName | target.resource.attribute .permissions.name |
从原始日志字段直接映射。 |
| Records.0.requestParameters.policyName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.principalArn | principal.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.publicKeyId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.RegionName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.RegionName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.roleName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.sAMLProviderArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.secretId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.serialNumber | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters .serviceSpecificCredentialId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.sendingEnabled | target.resource.attribute .labels.Request Sending Enabled.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.requestParameters.snapshotId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.sSHPublicKeyId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.stackName | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.status | target.resource.attribute .labels.Request Parameter Status.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.subnetId | target.resource.attribute .labels.Subnet Id.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .targets.0.InstanceIds |
target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters .targets.0.key |
target.resource.attribute .labels.requestParameters.targets.0.key.value |
从原始日志字段直接映射。 |
| Records.0.requestParameters.trailName | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.requestParameters.userName | target.user.userid | 从原始日志字段直接映射。 |
| Records.0.requestParameters.volumeId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.requestParameters.withDecryption | security_result.detection_fields .withDecryption.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.responseElements | target.resource.attribute.labels | responseElements 中的各种字段会映射到目标资源属性中的标签。如需了解具体映射,请参阅解析器代码。 |
| Records.0.responseElements.accessKey.accessKeyId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.accessKey.status | target.resource.attribute .labels.Response Access Key Status.value |
从原始日志字段直接映射。 |
| Records.0.responseElements.accessKey.userName | target.user.userid | 从原始日志字段直接映射。 |
| Records.0.responseElements.allocationId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .certificate.certificateId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .certificate.status |
target.resource.attribute .labels.Certificate Status.value |
从原始日志字段直接映射。 |
| Records.0.responseElements .certificate.userName |
target.user.userid | 从原始日志字段直接映射。 |
| Records.0.responseElements .credentials.accessKeyId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .credentials.sessionToken |
security_result.detection_fields .sessionToken.value |
从原始日志字段直接映射。 |
| Records.0.responseElements .createAccountStatus.accountId |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.responseElements .createCollectionDetail.arn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .createCollectionDetail.id |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .deleteCollectionDetail.id |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.description | target.resource.attribute .labels.Response Elements Description.value |
从原始日志字段直接映射。 |
| Records.0.responseElements.destinationId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.detectorId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.directoryId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .domainStatus.aRN |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .domainStatus.domainId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .federatedUser.arn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .federatedUser.federatedUserId |
target.user.userid | 从原始日志字段直接映射。 |
| Records.0.responseElements .firewall.firewallArn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .firewall.firewallId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .firewall.firewallName |
target.resource.attribute .labels.Firewall Name.value |
从原始日志字段直接映射。 |
| Records.0.responseElements .flowLogIdSet.item |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.functionArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .group.arn |
target.group.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .group.groupName |
target.group.group_display_name | 从原始日志字段直接映射。 |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .image.imageId.imageDigest |
src.file.sha256 | UDM 字段设置为原始日志字段中“sha256:”后面的值。 |
| Records.0.responseElements .image.imageManifestMediaType |
src.file.mime_type | 从原始日志字段直接映射。 |
| Records.0.responseElements.instanceArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .instanceProfile.arn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .instancesSet.items.0.instanceId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.keyId | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .keyMetadata.arn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .keyMetadata.encryptionAlgorithms |
security_result.detection_fields .encryptionAlgorithm.value |
UDM 字段会设置为原始日志字段中数组中每个元素的值。 |
| Records.0.responseElements .keyMetadata.keyId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.keyPairId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .listeners.0.listenerArn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .listeners.0.loadBalancerArn |
target.resource.ancestors.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .loadBalancers.0.loadBalancerArn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements.newAssociationId | target.resource.attribute.labels .responseElements newAssociationId.value |
从原始日志字段直接映射。 |
| Records.0.responseElements.packedPolicySize | security_result.detection_fields .packedPolicySize.value |
从原始日志字段直接映射,转换为字符串。 |
| Records.0.responseElements .publicKey.publicKeyId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.sAMLProviderArn | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .sSHPublicKey.sSHPublicKeyId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .sSHPublicKey.status |
target.resource.attribute .labels.SSH Public Key Status.value |
从原始日志字段直接映射。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.groupId |
security_result.rule_labels.Group Id.value | 从原始日志字段直接映射。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol |
network.ip_protocol | 从原始日志字段直接映射,并转换为大写。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.isEgress |
network.direction | 如果值为“false”,则 UDM 字段会设置为“INBOUND”。否则,该值会设置为“OUTBOUND”。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId |
security_result.rule_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .serviceSpecificCredential.serviceName |
target.resource.attribute.labels .Specific Credential ServiceName .value |
从原始日志字段直接映射。 |
| Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .serviceSpecificCredential.serviceUserName |
target.resource.attribute.labels .Specific Credential Service UserName .value |
从原始日志字段直接映射。 |
| Records.0.responseElements .serviceSpecificCredential.status |
target.resource.attribute .labels.Specific Credential Status.value |
从原始日志字段直接映射。 |
| Records.0.responseElements .serviceSpecificCredential.userName |
target.user.userid | 从原始日志字段直接映射。 |
| Records.0.responseElements.snapshotId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.stackId | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .tableDescription.tableArn |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .tableDescription.tableId |
target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements.trailARN | target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements .user.arn |
target.user.userid | 从原始日志字段直接映射。 |
| Records.0.responseElements .user.userId |
target.user.product_object_id | 从原始日志字段直接映射。 |
| Records.0.responseElements .user.userName |
target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.responseElements .virtualMFADevice.serialNumber |
target.resource.name | 从原始日志字段直接映射。 |
| Records.0.responseElements.volumeId | target.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.resources | target.resource | resources 数组中的第一个元素会映射到目标资源。其他元素会映射到“关于”字段。 |
| Records.0.sharedEventID | additional.fields.SharedEventID .value.string_value |
从原始日志字段直接映射。 |
| Records.0.sourceIPAddress | principal.asset.ip | 从原始日志字段直接映射。 |
| Records.0.sourceIPAddress | principal.ip | 从原始日志字段直接映射。 |
| Records.0.sourceIPAddress | src_ip | 从原始日志字段直接映射。 |
| Records.0.tlsDetails.cipherSuite | network.tls.cipher | 从原始日志字段直接映射。 |
| Records.0.tlsDetails.clientProvidedHostHeader | security_result.detection_fields .clientProvidedHostHeader.value |
从原始日志字段直接映射。 |
| Records.0.tlsDetails.tlsVersion | network.tls.version | 从原始日志字段直接映射。 |
| Records.0.userAgent | network.http.user_agent | 从原始日志字段直接映射。 |
| Records.0.userAgent | network.http.parsed_user_agent | 从原始日志字段直接映射,解析为用户代理字符串。 |
| Records.0.userIdentity.accessKeyId | additional.fields.accessKeyId .value.string_value |
从原始日志字段直接映射。 |
| Records.0.userIdentity.accountId | principal.resource.product_object_id | 从原始日志字段直接映射。 |
| Records.0.userIdentity.accountId | principal.user.group_identifiers | 从原始日志字段直接映射。 |
| Records.0.userIdentity.arn | principal.resource.name | 从原始日志字段直接映射。 |
| Records.0.userIdentity.arn | principal.user.userid | 从原始日志字段直接映射。 |
| Records.0.userIdentity.arn | target.user.attribute .labels.ARN.value |
从原始日志字段直接映射。 |
| Records.0.userIdentity.invokedBy | principal.user.userid | UDM 字段设置为原始日志字段中“.amazonaws.com”前面的值。 |
| Records.0.userIdentity.principalId | principal.user.product_object_id | 从原始日志字段直接映射。 |
| Records.0.userIdentity.principalId | principal.user.attribute .labels.principalId.value |
从原始日志字段直接映射。 |
| Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated |
principal.user.attribute .labels.mfaAuthenticated.value |
从原始日志字段直接映射。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.arn |
target.user.attribute .labels.ARN.value |
从原始日志字段直接映射。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.principalId |
target.user.userid | 从原始日志字段直接映射。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.type |
target.user.attribute .labels.Type.value |
从原始日志字段直接映射。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.userName |
target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.userIdentity.type | principal.resource.resource_subtype | 从原始日志字段直接映射。 |
| Records.0.userIdentity.type | principal.resource.type | 从原始日志字段直接映射。 |
| Records.0.userIdentity.userName | principal.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.userIdentity.userName | src.user.userid | 从原始日志字段直接映射。 |
| Records.0.userIdentity.userName | src.user.user_display_name | 从原始日志字段直接映射。 |
| Records.0.userIdentity.userName | target.user.user_display_name | 从原始日志字段直接映射。 |
| Records.1.additionalEventData .AuthenticationMethod |
additional.fields.AuthenticationMethod .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .CipherSuite |
additional.fields.CipherSuite .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .LoginTo |
additional.fields.LoginTo .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .MFAUsed |
extensions.auth.auth_details | 如果值为“是”,则 UDM 字段设置为“MFAUsed: Yes”。否则,将其设置为“MFAUsed: No”。 |
| Records.1.additionalEventData .MobileVersion |
additional.fields.MobileVersion .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .SamlProviderArn |
additional.fields.SamlProviderArn .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .SignatureVersion |
additional.fields.SignatureVersion .value.string_value |
从原始日志字段直接映射。 |
| Records.1.additionalEventData .bytesTransferredIn |
network.received_bytes | 从原始日志字段直接映射,转换为无符号整数。 |
| Records.1.additionalEventData .bytesTransferredOut |
network.sent_bytes | 从原始日志字段直接映射,转换为无符号整数。 |
| Records.1.additionalEventData .x-amz-id-2 |
additional.fields.x-amz-id-2 .value.string_value |
从原始日志字段直接映射。 |
| Records.1.awsRegion | principal.location.name | 从原始日志字段直接映射。 |
| Records.1.awsRegion | target.location.name | 从原始日志字段直接映射。 |
| Records.1.errorCode | security_result.rule_id | 从原始日志字段直接映射。 |
| Records.1.errorMessage | security_result.description | UDM 字段设置为“原因:”与原始日志字段中的值串联。 |
| Records.1.eventCategory | security_result.category_details | 从原始日志字段直接映射。 |
| Records.1.eventID | metadata.product_log_id | 从原始日志字段直接映射。 |
| Records.1.eventName | metadata.product_event_type | 从原始日志字段直接映射。 |
| Records.1.eventName | _metadata.event_type | 根据原始日志字段的值进行映射。如需了解具体映射,请参阅解析器代码。 |
| Records.1.eventSource | target.application | 从原始日志字段直接映射。 |
| Records.1.eventSource | metadata.ingestion_labels.EventSource | 从原始日志字段直接映射。 |
| Records.1.eventTime | metadata.event_timestamp | 从原始日志字段直接映射,解析为 ISO8601 时间戳。 |
| Records.1.eventVersion | metadata.product_version | 从原始日志字段直接映射。 |
| Records.1.managementEvent | additional.fields.ManagementEvent .value.string_value |
从原始日志字段直接映射,转换为字符串。 |
| Records.1.readOnly | additional.fields.ReadOnly .value |
变化
2024-07-30
- 修复了“src_ip”和“event_type”的映射,以解析新日志。
2024-07-29
- bug 修复:
- 当“eventName”为“GetLoginProfile”时,将“metadata.event_type”映射到“RESOURCE_READ”。
2024-07-24
- 将映射从“recipientAccountId”更改为“userIdentity.accountId”,并将其映射到“additional.fields”。
2024-07-23
- 将“alert_emails”和“owner_names”映射到“target.resource.attribute.labels”。
2024-07-09
- 将“eventVersion”映射到“metadata.product_version”。
- 将“userIdentity.principalId”映射到“principal.user.attribute.labels”。
- 将“userIdentity.sessionContext.attributes.creationDate”映射到“principal.user.attribute.creation_time”。
- 将“userIdentity.sessionContext.sessionIssuer.type”映射到“target.user.attribute.labels”。
- 将“additionalEventData.bytesTransferredIn”映射到“network.received_bytes”。
- 将“additionalEventData.bytesTransferredOut”映射到“network.sent_bytes”。
- 将“managementEvent”“readOnly”“sharedEventID”“apiVersion”“additionalEventData.x-amz-id-2”“additionalEventData.SignatureVersion”“additionalEventData.AuthenticationMethod”“additionalEventData.CipherSuite”和“additionalEventData.sub”映射到“additional.fields”。
2024-06-24
- 添加了对 JSON 日志的新模式的支持。
2024-06-24
- 由于“principal.resource.type”字段已废弃,因此将映射从“principal.resource.type”更新为“principal.resource.resource_subtype”。
2024-05-21
- 如果“requestParameters.bucketPolicy.Statement.n.Resource”为数组,则将“requestParameters.bucketPolicy.Statement.n.Resource”映射到“additional.fields”。
2024-05-09
- 将“principal.user.userid”中的“groupid”部分映射到“principal.user.groupid”和“principal.user.group_identifiers”,前提是“userid”与“^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$”格式匹配。
2024-04-30
- 将“req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress”映射到“target.resource.attribute.labels”。
2024-03-22
- 将“Noun.user.userid”映射到“Noun.user.product_object_id”。
- 将“userIdentity.arn”中的“RoleName”映射到“principal.user.role_name”和“principal.user.attribute.roles.name”。
- 将“requestParameters.policyArn”中的“PolicyName”映射到“security_result.rule_name”。
2024-03-04
- 对于“eventName”为“TerminateInstances”的日志:
- 将“responseElements”JSON 对象映射到“target.resource.attribute.labels”。
- 将“sessionCredentialFromConsole”映射到“target.resource.attribute.labels”。
- 对于“eventName”为“CreateDomain”“DeleteDomain”“CreateCollection”的日志,
- "DeleteCollection","CreateDBCluster","DeleteDBCluster","StopDBCluster","StartDBCluster",
- "CreateCluster","DeleteCluster", "ListClusters", "CreateNodegroup", "DeleteNodegroup",
- “RegisterCluster”“DeregisterCluster”“DescribeCluster”“DescribeNodegroup”“ListNodegroups”。
- 将“target.resource.resource_type”设置为“CLUSTER”。
2023-11-21
- 将“awsRegion”映射到“target.location.name”。
- 对于“eventName”为“PutBucketAcl”的日志,如果不存在“userIdentity.arn”,则将“metadata.event_type”修改为“STATUS_UPDATE”。
- 对于“eventName”为“Get”“List”“Describe”“Detect”“Query”“Check”“Decode”等前缀的日志,
- “解密”“下载”“检索”“读取”“发现”“查找”“预览”“扫描”“选择”“分类”“显示”“查看”:
- 将“metadata.event_type”设置为“RESOURCE_READ”。
- 对于“eventName”前缀为“Delete”“Terminate”的日志:
- 将“metadata.event_type”设置为“RESOURCE_DELETION”。
- 对于“eventName”的前缀为“Create”“Put”“Import”“Generate”“Allocate”的日志:
- 将“metadata.event_type”设置为“RESOURCE_CREATION”。
- 对于“eventName”前缀为“Start”“Activate”“Reboot”“Initialize”“New”的日志:
- 将“metadata.event_type”设置为“STATUS_STARTUP”。
- 对于“eventName”的前缀为“Stop”“Cancel”“Disconnect”的日志:
- 将“metadata.event_type”设置为“STATUS_SHUTDOWN”。
- 对于“eventName”前缀为“Test”“Accept”“Notify”“Request”“Validate”“Confirm”“Reject”“Verify”“Authorize”“Complete”的日志:
- 将“metadata.event_type”设置为“STATUS_UPDATE”。
- 对于“eventName”前缀为“Assume”“ConsoleLogin”的日志:
- 将“metadata.event_type”设置为“USER_LOGIN”。
- 对于“eventName”为“SendHeartbeat”的日志:
- 将“metadata.event_type”设置为“STATUS_HEARTBEAT”。
- 对于前缀为“Initiate”“Publish”“Replace”“Resume”“Run”“Submit”“Suspend”的“eventName”日志,
- “Alter”“Increase”“Invite”“Provision”“Refresh”“Report”“Upgrade”“Abort”“Apply”“Backup”“Decrease”
- “Merge”“Retry”“Rotate”“Rotation”“Transfer”“Unassign”“Analyze”“Archive”“Beta_”“Clear”“Configure”
- “Confirm_”“Do”“Evaluate”“Failover”“Forgot”“Lock”“Migrate”“O”“Process”“Promote”“Release”“Renew”
- “签名”“解压缩”“取消废弃”“解锁”“确认”“批准”“关联”“继续”“拒绝”“部署”
- “Diagnostic”“Drop”“Exit”“Finalize”“Flush”“Forget”“Grant”“Issue”“Logout”“Move”“Opt”“Pause”
- “重新构建”“兑换”“复制”“重启”“S”“保存”“订阅”“同步”“解除关联”“取消订阅”“取消暂停”
- “Allow”“Ato”“Back”“Backtrack”“Bid”“Bind”“Build”“Bundle”“Clone”“Close”“Cognito”“Console”“Dispose”
- “解除关联”“结束”“注册”“进入”“环境”“Event_”“排除”“全局”“包含”“编入”“插入”“安装”
- “Invalidate”“Join”“Leave”“Load”“Managed”“Mark”“Monitor”“Peer”“Persist”“Prepare”“Pubkey”“Purge”“Push”
- “Rebalance”“Record”“Recovery”“Redact”“Refuse”“Reinvite”“Reload”“Rename”“Respond”“Resync”“Retire”“Reverse”
- “Rollback”“Schedule”“Secret”“Shutdown”“Signal”“Skip”“Split”“Stream”“Swap”“Switch”“Toggle”“Token_”
- “Translate”“Trim”“Unauthorize”“Undeploy”“Unmonitor”“Unpeer”“Use”:
- 将“metadata.event_type”设置为“RESOURCE_WRITTEN”。
- 对于前缀为“eventName”且事件类型为“更新”“关联”“取消关联”“修改”“设置”“注册”“取消注册”的日志,
- “添加”“移除”“启用”“停用”“发送”“恢复”“重置”“附加”“分离”“导出”“复制”“标记”
- “取消代码植入”“执行”“购买”“分配”“停用”“发布”“重新发送”“上传”“分配”“更改”“定义”
- “废弃”“调用”“撤消:
- 将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”。
2023-11-11
- 将变量初始化为 null 或空,以避免重复映射。
- 如果“requestParameters.tagSpecificationSet.items.key”为“Hostname”,则映射到“target.hostname”。
2023-10-27
- 对于“eventName”为“AssociateIamInstanceProfile”的日志:
- 将“responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.name”。
- 将“responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.product_object_id”。
- 将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”。
- 将“target.resource.resource_type”设置为“ACCESS_POLICY”。
- 对于“eventName”为“DisassociateIamInstanceProfile”的日志:
- 将“responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.name”。
- 将“responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.product_object_id”。
- 将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”。
- 将“target.resource.resource_type”设置为“ACCESS_POLICY”。
- 对于“eventName”为“ReplaceIamInstanceProfileAssociation”的日志:
- 将“responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.name”。
- 将“responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid”映射到“target.resource.product_object_id”。
- 将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”。
- 将“target.resource.resource_type”设置为“ACCESS_POLICY”。
- 将“requestParameters”和“responseElements”JSON 对象映射到“target.resource.attribute.labels”。
- 更正了“req.userIdentity.userName”的拼写错误(应为“req.userIdentity.username”)。
2023-10-13
- 对于“eventName”为“UpdateDetector”的日志:
- 将“requestParameters.features.name”和“requestParameters.features.status”映射到“target.resource.attribute.labels”。
- 对于“eventName”为“SendCommand”的日志:
- 将“requestParameters.documentName”映射到“target.resource.product_object_id”。
- 将“responseElements.command.commandId”映射到“target.process.product_specific_object.id”。
- 将“metadata.event_type”映射到“PROCESS_LAUNCH”。
- 将“requestParameters.documentName”映射到“target.resource.name”。
- 将“requestParameters”和“responseElements”中的所有参数映射到“target.resource.attribute.labels”。
- 对于“eventName”为“createAccountResult”的日志,请将“event_type”映射为“USER_RESOURCE_ACCESS”。
- 对于“eventName”为“createAccount”的日志,请将“event_type”映射为“RESOURCE_CREATION”。
2023-09-30
- 为以下字段添加新的映射:
- 将“req.requestParameters.durationSeconds”映射到“target.resource.attribute.labels”。
- 将“req.requestParameters.policyArns”映射到“target.resource.attribute.labels”。
- 对于“eventName”为“GetParameter”“GetParameters”“GetParameterHistory”“GetParametersByPath”“DescribeParameters”的日志:
- 将“metadata.event_type”映射到“RESOURCE_READ”。
- 将“req.requestParameters.withDecryption”映射到“security_result.detection_fields”。
- 对于“eventName”为“DeleteParameters”“DeleteParameter”的日志,请将“metadata.event_type”设置为“RESOURCE_DELETION”。
- 对于“eventName”为“PutParameter”的日志,请将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”。
- 对于“eventName”为“EnableRegion”或“DisableRegion”的日志,请从“req.requestParameters.map.RegionName”设置“target.resource.name”。
- 对于“eventName”为“GetFederationToken”的日志:
- 将“metadata.event_type”映射到“RESOURCE_READ”。
- 将“req.responseElements.federatedUser.arn”映射到“target.resource.name”。
- 将“req.responseElements.federatedUser.federatedUserId”映射到“target.user.userid”。
- 将“req.responseElements.packedPolicySize”映射到“security_result.detection_fields”。
- 将“req.responseElements.credentials.sessionToken”映射到“security_result.detection_fields”。
2023-09-15
- 为以下字段添加新的映射:
- 将“requestParameters.userName”映射到“target.user.user_display_name”。
- 将“additionalEventData.SamlProviderArn”映射到“additional.fields”。
- 将“eventSource”映射到“metadata.ingestion_labels”。
- 如果“requestParameters.tagSpecificationSet.items.tags.key”的值为“Name”,则将“requestParameters.tagSpecificationSet.items.tags.value”映射到“target.resource.name”。
2023-08-24
- 对于“eventName”为“CreateFirewall”和“DeleteFirewall”的日志:
- 将“responseElements.firewallARN”映射到“target.resource.name”。
- 将“responseElements.firewallId”映射到“target.resource.product_object_id”。
- 将“responseElements.firewallName”映射到“target.resource.attribute.labels”。
- 将“target.resource_subtype”映射为“Firewall”。
- 将“target.resource.resource_type”映射为“FIREWALL_RULE”。
2023-08-24
- 对于“eventName”为“CreateSubnet”的日志,请将“metadata.event_type”设置为“RESOURCE_CREATION”。
- 将“req.responseElements.subnet.subnetId”映射到“target.resource.attribute.labels”。
- 将“req.requestParameters.cidrBlock”映射到“target.resource.attribute.labels”。
- 对于“eventName”为“DeleteSubnet”的日志,请将“metadata.event_type”设置为“RESOURCE_DELETION”。
- 将“req.requestParameters.subnetId”映射到“target.resource.attribute.labels”。
2023-08-16
- 对于“eventName”为“DeleteSecret”的日志,将“responseElements.arn”映射到“target.resource.name”。
2023-08-02
- 对于“eventName”为“CreateTags”的日志,将“metadata.event_type”映射到“RESOURCE_WRITTEN”。
- 将“responseElements.description”“requestParameters.name”“requestParameters.tagSet.items”“requestParameters.attributeType”映射到“target.resource.attribute.labels”。
- 对于具有以下“eventName”的日志,将“metadata.event_type”设置为“RESOURCE_CREATION”:
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet",
- “CreateAddon”“CreateRepository”“CreateStack”“CreateDomain”“CreateCollection”“CreateTable”
- "CreateDBInstance","CreateDBCluster","CreateDBSnapshot","CreateDBClusterSnapshot","PutConfigRule",
- "PutDeliveryChannel","CreateListener","CreateLoadBalancer","PutLoggingConfiguration","CreateTargetGroup",
- "CreateWebACL","RequestCertificate","CreateCluster"
- 将“metadata.event_type”设置为“RESOURCE_WRITTEN”以针对具有以下“eventName”的日志:
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet","CreateTags",
- "UpdateTable","ModifyDBInstance","StopDBInstance","StartDBInstance","RebootDBInstance",
- "StartDBCluster","StopDBCluster","ModifyDBSnapshotAttribute","ModifyDBClusterSnapshotAttribute",
- "AddListenerCertificates","ModifyLoadBalancerAttributes","SetSubnets","SetSecurityGroups",
- "ModifyListener","UpdateWebACL","ResendValidationEmail","ModifyInstanceAttribute",
- “StopInstances”“StartInstances”“RebootInstances”
- 对于具有以下“eventName”的日志,将“metadata.event_type”设置为“RESOURCE_WRITTEN”。
- "DeletePublishingDestination","DeleteIPSet","DeleteThreatIntelSet","DeleteRepository",
- "DeleteStack","DeleteCollection","DeleteDomain","DeleteTable","DeleteDBInstance","DeleteDBCluster",
- "DeleteDBSnapshot","DeleteDBClusterSnapshot","DeleteConfigRule","DeleteEvaluationResults",
- "DeleteTargetGroup","DeleteLoadBalancer","DeleteListener","DeleteLoggingConfiguration",
- “DeleteWebACL”“DeleteCertificate”“DeleteCluster”
- 对于具有以下“eventName”的日志,将“metadata.event_type”设置为“RESOURCE_PERMISSIONS_CHANGE”:
- "AssociateWebACL","DisassociateWebACL","AttachGroupPolicy","PutBucketAcl"
- 对于具有以下“eventName”的日志,将“metadata.event_type”设置为“RESOURCE_READ”:
- “GetPasswordData”“GetSessionToken”
- 为上述事件名称映射了“target.resource.resource_type”和其他未映射的字段。
2023-07-18
- 对于具有以下“eventName”的日志,将“metadata.event_type”映射到“RESOURCE_CREATION”。
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization", "CreateNetworkInterface",
- "StartSSO","CreateEmailIdentity","VerifyDomainIdentity","VerifyDomainDkim","VerifyEmailIdentity",
- “CreateConfigurationSet”“CreateSecret”“ImportKeyPair”“CreateAlias”“CreateKey”“CreateOrganizationalUnit”
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet"
- 对于具有以下“eventName”的日志,将“metadata.event_type”映射到“RESOURCE_WRITTEN”。
- "UpdateMacieSession","PutAccountSendingAttributes","PutConfigurationSetSendingOptions","UpdateAccountSendingEnabled",
- "UpdateConfigurationSetSendingEnabled","UpdateSecret","DisableKey","EnableKey","CancelKeyDeletion",
- “MoveAccount”“PutEventSelectors”“PutInsightSelectors”“UpdateIPSet”“UpdateThreatIntelSet”
- 对于具有以下“eventName”的日志,将“metadata.event_type”映射到“RESOURCE_DELETION”。
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances", "RESOURCE_DELETION",
- "DeleteNetworkInterface","DeleteSSO","DeleteBucketPublicAccessBlock","DeleteAccountPublicAccessBlock",
- "RemoveAccountFromOrganization","DeleteEmailIdentity","LeaveOrganization","DeleteConfigurationSet",
- "DeleteSecret","DeleteKeyPair","DeleteAlias","ScheduleKeyDeletion","DeleteNetworkAcl",
- "DeletePublishingDestination"、"DeleteIPSet"、"DeleteThreatIntelSet"
- 对于具有以下“eventName”的日志,将“metadata.event_type”映射到“RESOURCE_PERMISSIONS_CHANGE”。
- “DetachRolePolicy”“PutRolePolicy”“PutResourcePolicy”“PutCredentials”“DeleteDirectory”
- "AuthorizeSecurityGroupEgress","AuthorizeSecurityGroupIngress","RevokeSecurityGroupEgress","RevokeSecurityGroupIngress",
- "ModifySnapshotAttribute","ModifyImageAttribute","CreateNetworkAclEntry","ReplaceNetworkAclAssociation","DeleteNetworkAclEntry"
- 为上述事件名称映射了“target.resource.resource_type”和其他未映射的字段。
- 在映射字段“userIdentity.invokedBy”之前添加了 null 检查。
2023-07-06
- 在映射字段“userIdentity.invokedBy”之前添加了 null 检查。
- 将“requestParameters.instanceType”“requestParameters.instancesSet.items.0.minCount”“requestParameters.instancesSet.items.0.maxCount”映射到“target.resource.attribute.labels”。
2023-06-23
- 根据“eventname”字段将日志映射到更具体的“metadata.event_type”。
- 将“target.resource.resource_type”映射为“VIRTUAL_MACHINE”。
- 将“requestParameters.status”“responseElements.certificate.status”映射到“target.resource.attribute.labels”。
- 将“requestParameters.instanceId”映射到“target.resource_ancestors.product_object_id”。
- 将“requestParameters.userName”映射到“target.user.userid”。
- 根据每个“eventName”下存在的键映射了“target.resource.name”和“target.resource.product_object_id”。
- 将“userIdentity.arn”映射到“principal.resource.name”。
- 将“userIdentity.accountId”映射到“principal.resource.product_object_id”。
- 对于“eventName”为以下内容的日志,将“metadata.event_type”映射到“RESOURCE_CREATION”。
- "CreateTrail","AllocateAddress","CreateVolume","CreateVirtualMFADevice","UploadSigningCertificate",
- "CreateAccessKey","UploadSSHPublicKey","CreateServiceSpecificCredential","UploadCloudFrontPublicKey",
- "CreateAnalyzer","CreateSAMLProvider","PutConfigurationRecorder","CreateRole","CreateInstanceProfile",
- "CreateExportTask","CreateLogGroup","EnableSecurityHub","CreateEnvironment","CreateSession","CreateServiceLinkedRole",
- "CreateSnapshot","CreateKeyPair","CreateSecurityGroup","CreateDetector","CreateFlowLogs",
- “EnableMacie”“ConnectDirectory”“RunInstances”“CreateImage”“CreateOrganization”
- 对于“eventName”为以下内容的日志,将“metadata.event_type”映射到“RESOURCE_WRITTEN”。
- “StartLogging”“StopLogging”“AssociateAddress”“DisassociateAddress”“DetachVolume”
- “AttachVolume”“ModifyVolume”“EnableMFADevice”“ResyncMFADevice”“UpdateSigningCertificate”
- "UpdateAccessKey","UpdateSSHPublicKey","ResetServiceSpecificCredential","UpdateServiceSpecificCredential",
- "UpdateCloudFrontPublicKey","DisableRegion","EnableRegion","UpdateSAMLProvider","StartConfigurationRecorder",
- “StopConfigurationRecorder”“PutRetentionPolicy”“PutDataProtectionPolicy”“UpdateDetector”“UpdateMacieSession”
- 对于“eventName”为以下内容的日志,将“metadata.event_type”映射到“RESOURCE_DELETION”。
- "DeleteTrail","ReleaseAddress","DeleteVolume","DeactivateMFADevice","DeleteVirtualMFADevice",
- "DeleteSigningCertificate","DeleteAccessKey","DeleteSSHPublicKey","DeleteServiceSpecificCredential",
- "DeleteCloudFrontPublicKey","DeleteAnalyzer","DeleteSAMLProvider","DeleteConfigurationRecorder",
- "DeletePolicy","DeleteRole","DeleteInstanceProfile","DeleteLogGroup","DisableSecurityHub","DisableMacie",
- "DeleteSnapshot"、"DeleteDetector"、"DeleteFlowLogs"、"DeregisterImage"、"TerminateInstances"
- 对于“eventName”为以下内容的日志,将“metadata.event_type”映射到“RESOURCE_PERMISSIONS_CHANGE”。
- "AttachUserPolicy","DetachUserPolicy","PutUserPolicy","DeleteUserPolicy",
- "PutUserPermissionsBoundary","DeleteUserPermissionsBoundary","AttachRolePolicy",
- “DetachRolePolicy”“PutRolePolicy”“PutResourcePolicy”“PutCredentials”“DeleteDirectory”
2023-06-09
- 修改了正则表达式,以识别 JSON 数组日志。
2023-06-07
- 将所有“principal.user”字段映射到“target.user”,并将“eventName”设为“ConsoleLogin”。
2023-05-26
- 解析了不同 JSON 模式的日志。
- 将“cipherSuite”映射到“network.tls.cipher”。
- 将“requestID”映射到“target.resource.attribute.labels”。
- 将“assumedRoleId”映射到“security_result.about.resource.name”。
- 将“roleSessionName”映射到“target.resource.name”。
- 将“roleArn”映射到“target.resource.product_object_id”。
- 将“userAgent”映射到“network.http.user_agent”。
- 将“sourceIPAddress”映射到“principal.ip”。
- 将“sessionIssuer.userName”映射到“target.user.user_display_name”。
- 将“sessionIssuer.principalId”映射到“target.user.userid”。
- 将“userIdentity.accessKeyId”映射到“target.resource.product_object_id”。
- 将“userIdentity.arn”映射到“security_result.about.resource.id”。
- 将“req.detail.Longitude”映射到“_principal.location.region_longitude”。
- 将“req.detail.Latitude”映射到“_principal.location.region_latitude”。
- 将“detail.resourceType”映射到“target.resource.resource_subtype”。
- 将“security_result.alert_state”设置为“ALERTING”。
- 将“req.detail.recommendRemediation”映射到“security_result.action_details”。
- 将“eventLog.detail.eventName”映射到“metadata.product_event_type”。
2023-02-23
- 将“requestParameters.principalArn”映射到“principal.resource.name”。
- 将“resources.ARN”映射到“about.resource.name”。
2022-11-24
- 修复:
- 通过映射以下字段,解析了包含 configurationItem 的新格式日志。
- 将“configurationItem.awsAccountId”映射到“principal.user.userid”。
- 将“configurationItem.resourceId”映射到“target.resource.id”。
- 将“configurationItem.resourceType”映射到“target.resource.resource_subtype”
- 将“configurationItem.awsRegion”映射到“target.location.country_or_region”。
- 将“configurationItem.configurationItemCaptureTime”映射到“target.asset.attribute.creation_time”。
- 将“configurationItem.configurationItemStatus”映射到“target.asset.attribute.labels”。
- 将“configurationItems.ARN”映射到“target.resource.attribute.labels”。
- 将“configurationItems.availabilityZone”映射到“target.resource.attribute.cloud.availability_zone”。
- 将“configurationItems.awsRegion”映射到“target.location.country_or_region”。
- 将“configurationItems.awsAccountId”映射到“principal.user.userid”。
- 将“configurationItems.configuration.activityStreamStatus”映射到“target.resource.attribute.labels”。
- 将“configurationItems.configuration.allocatedStorage”映射到“target.resource.attribute.labels”。
- 将“configurationItems.configuration.autoMinorVersionUpgrade”映射到“target.resource.attribute.labels”。
- 将“configurationItems.configuration.backupRetentionPeriod”映射到“target.resource.attribute.labels”。
- 将“configurationItems.configuration.copyTagsToSnapshot”映射到“target.resource.attribute.labels”。
- 将“configurationItems.configuration.dbClusterResourceId”映射到“target.resource.product_object_id”。
- 将“configurationItems.configuration.masterUsername”映射到“principal.user.user_display_name”。
- 将“configurationItems.resourceName”映射到“target.resource.name”。
2022-10-13
- 对于“eventName”:“CreateAccessKey”将“responseElements.accessKey.accessKeyId”字段映射到“target.resource.product_object_id”。
- 对于“eventName”:“UpdateAccessKey”,将“requestParameters.accessKeyId”字段映射到“target.resource.product_object_id”。
- 对于“eventName”:“DeleteAccessKey”,将“requestParameters.accessKeyId”字段映射到“target.resource.product_object_id”。
- 对于“eventName”:“CreateUser”将“responseElements.user.userId”字段映射到“target.user.product_object_id”。
- 将“eventTime”字段映射到“metadata.collected_timestamp”。
2022-07-27
- 添加了 eventType“QueryDatabase”并映射了其字段。
- 修改了 principal.ip 或 principal.host 的条件,以处理新日志。
- 将“requestParameters.roleArn”“requestParameters.registryId”“resources.accountId”的映射从“target.resource.id”更改为“target.resource.product_object_id”。
- 修改了“req_params”的解析条件,以提取值。
2022-07-08
- 将“req.requestParameters.roleName”的映射从“target.user.role_name”更改为“target.user.attribute.roles”。
2022-07-06
- 将“req.awsRegion”的映射从“_principal.location.country_or_region”更改为“_principal.location.name”。
- 将 eventName 为“AssumeRole”的 event_type 从“GENERIC_EVENT”修改为“USER_LOGIN”。
- 将 eventNAme 为“PutImage”“GetDownloadUrlForLayer”或“BatchGetImage”的 event_type 从“GENERIC_EVENT”修改为“USER_RESOURCE_ACCESS”。
- 将 eventName 为“DeleteNetworkInterface”的 event_type 从“GENERIC_EVENT”修改为“USER_RESOURCE_DELETION”。
2022-06-06
- 对于事件名称“CreateUser/DeleteUser”,用于将 src 映射处理为现有映射的修改后条件对新日志失败。
- 修改了 puserId 字段,以处理新的未解析日志。
2022-05-27
- 改进了将以下原始日志元素映射到 UDM 元素的功能:
- “awsAccountId”已映射到“target.user.group_identifiers”。
- “digestS3Bucket”已映射到“target.resource.name”。
- “digestS3Object”映射到“target.file.full_path”。
- “previousDigestHashValue”映射到“target.file.sha256”。
- “digestSignatureAlgorithm”已映射到“event.idm.read_only_udm.additional.fields”。
- “digestPublicKeyFingerprint”已映射到“event.idm.read_only_udm.additional.fields”。
- “logFiles.s3Bucket”已映射到“about_resource.resource.name”。
- “logFiles.s3Object”映射到“about_resource.file.full_path”。
- “logFiles.hashValue”映射到“about_resource.file.sha256”。
2022-05-27
- 增强功能 - 将 metadata.product_name 中存储的值修改为“AWS CloudTrail”。
2022-04-13
- 改进了将以下原始日志元素映射到 UDM 元素的功能:
- 将字段“requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls”“requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets”“requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy”“requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls”“requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls”“additionalEventData.configRuleInputParameters.RestrictPublicBuckets”“additionalEventData.configRuleInputParameters.BlockPublicPolicy”“additionalEventData.configRuleInputParameters.BlockPublicAcls”“additionalEventData.configRuleInputParameters.IgnorePublicAcls”映射到“target.resource.attribute.labels”。