本頁面由 Cloud Translation API 翻譯而成。

收集 AWS CloudTrail 記錄

支援以下發布途徑：

Google secops Siem

本文件詳細說明如何設定將 AWS CloudTrail 記錄和背景資料擷取至 Google Security Operations。這些步驟也適用於從其他 AWS 服務擷取日誌，例如 AWS GuardDuty、AWS VPC Flow、AWS CloudWatch 和 AWS Security Hub。

為了擷取事件記錄，設定會將 CloudTrail 記錄導向 Amazon Simple Storage Service (Amazon S3) 值區。您可以選擇使用 Amazon Simple Queue Service (Amazon SQS) 或 Amazon S3 做為動態饋給來源類型。

本文件的第一個部分提供簡要步驟，說明如何使用 Amazon S3 做為動態饋給來源類型擷取記錄，或者建議使用 Amazon S3 搭配 Amazon SQS 做為動態饋給來源類型。

第二節提供更詳細的步驟和螢幕截圖，說明如何使用 Amazon S3 做為動態饋給來源類型。本節未涵蓋 Amazon SQS。

第三節說明如何針對主機、服務、VPC 網路和使用者擷取 AWS 背景資料。

在有或沒有 SQS 的情況下，從 S3 擷取記錄的基本步驟

本節說明將 AWS CloudTrail 記錄擷取至 Google SecOps 執行個體的基本步驟。這些步驟說明如何使用 Amazon S3 搭配 Amazon SQS 做為動態饋給來源類型，或視需要使用 Amazon S3 做為動態饋給來源類型。

設定 AWS CloudTrail 和 S3

在這個程序中，您會將 AWS CloudTrail 記錄設為寫入 S3 儲存桶。

在 AWS 主控台中搜尋 CloudTrail。
按一下「建立軌跡」。
提供Trail 名稱。
選取「建立新的 S3 值區」。您也可以選擇使用現有的 S3 值區。
提供 AWS KMS 別名的名稱，或選擇現有的 AWS KMS 金鑰。
其他設定可保留預設值，然後點選「下一步」。
選擇「事件類型」，視需要新增「資料事件」，然後點選「下一步」。
查看「查看並建立」中的設定，然後按一下「建立記錄」。
在 AWS 主控台中搜尋「Amazon S3 值區」。
按一下新建立的記錄檔 bucket，然後選取資料夾「AWSLogs」AWSLogs。然後按一下「複製 S3 URI」，並儲存該 URI，以便在後續步驟中使用。

建立 SQS 佇列

建議您使用 SQS 佇列。如果您使用 SQS 佇列，則必須是標準佇列，而非 FIFO 佇列。

如要進一步瞭解如何建立 SQS 佇列，請參閱「開始使用 Amazon SQS」。

設定 SQS 佇列的通知

如果您使用 SQS 佇列，請在 S3 值區中設定通知，以便寫入 SQS 佇列。請務必附加存取權政策。

設定 AWS IAM 使用者

設定 AWS IAM 使用者，Google SecOps 會使用這個使用者存取 SQS 佇列 (如果有) 和 S3 值區。

在 AWS 控制台中搜尋「IAM」。
按一下「使用者」，然後在下一個畫面中點選「新增使用者」。
為使用者提供名稱，例如 chronicle-feed-user，選取 AWS 憑證類型，例如存取金鑰 - 程式存取，然後按一下「Next: Permissions」。
在下一個步驟中，選取「直接附加現有政策」，然後視需要選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」。如果 Google SecOps 應在讀取記錄後清除 S3 值區，以便降低 AWS S3 儲存空間費用，就會使用 AmazonS3FullAccess。
您可以建立自訂政策，進一步將存取權限制在指定的 S3 儲存桶，這是建議的替代方案，按一下「建立政策」，然後按照 AWS 說明文件建立自訂政策。
套用政策時，請務必加入 sqs:DeleteMessage。如果未將 sqs:DeleteMessage 權限附加至 SQS 佇列，Google SecOps 就無法刪除訊息。所有訊息都會累積在 AWS 端，導致 Google SecOps 反覆嘗試傳輸相同檔案，進而造成延遲。
點選「下一步：標記」。
視需要新增任何標記，然後依序點選「下一步」>「查看」。
檢查設定，然後按一下「建立使用者」。
複製已建立使用者的「存取金鑰 ID」和「存取密鑰」，以便在下一個步驟中使用。

設定動態饋給

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

SIEM 設定 > 動態饋給
內容中心 > 內容包

依序前往「SIEM 設定」>「動態」設定動態

完成上述程序後，請建立動態饋給，將 Amazon S3 值區中的 AWS 記錄取入 Google SecOps 執行個體。如果您未使用 SQS 佇列，請在下列程序中選取「Amazon S3」做為動態饋給來源類型，而非「Amazon SQS」。

如要針對這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

如要設定單一動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一頁中，按一下「設定單一動態饋給」。
在「Source type」對話方塊中，選取「Amazon S3」。
在「Log Type」選單中，選取「AWS CloudTrail」 (或其他 AWS 服務)。
點選「下一步」。
在欄位中輸入動態饋給的輸入參數。
如果動態饋給來源類型是 Amazon S3，請執行下列操作：
1. 選取「region」，並提供先前複製的 Amazon S3 值區的 S3 URI。您也可以使用變數附加 S3 URI。
```
 {{datetime("yyyy/MM/dd")}}
 
```
  在以下範例中，Google Security Operations 每次只掃描特定一天的記錄。
```
 s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
 
```
2. 針對「URI IS A」，選取「Directories including subdirectories」。在「來源刪除選項」下方選取適當的選項。請確認該權限與先前建立的 IAM 使用者帳戶相符。
3. 提供先前建立的 IAM 使用者帳戶的存取金鑰 ID 和密鑰。
依序按一下「下一步」和「完成」。

透過內容中心設定動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3，在 Google SecOps 中設定擷取動態饋給。

指定下列欄位的值：

Region：輸入先前複製的 Amazon S3 值區 S3 URI。您也可以使用變數附加 S3 URI。

     {{datetime("yyyy/MM/dd")}}

在下列範例中，Google SecOps 每次只會掃描特定日期的記錄。

     s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

URI IS A：選取「目錄，包括子目錄」。
來源刪除選項：選擇適當的選項，與先前建立的 IAM 使用者帳戶權限相符。
提供先前建立的 IAM 使用者帳戶的 存取金鑰 ID 和 存取密鑰。

進階選項

動態饋給名稱：預先填入的值，用於識別動態饋給。
來源類型：用於收集記錄並匯入 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
攝入標籤：套用至這個動態饋給中所有事件的標籤。

從 S3 擷取記錄的詳細步驟

設定 AWS CloudTrail (或其他服務)

請完成下列步驟，設定 AWS CloudTrail 記錄，並將這些記錄寫入先前程序中建立的 AWS S3 值區：

在 AWS 主控台中搜尋 CloudTrail。
按一下「建立軌跡」。
提供Trail 名稱。
選取「建立新的 S3 值區」。您也可以選擇使用現有的 S3 值區。
提供 AWS KMS 別名的名稱，或選擇現有的 AWS KMS 金鑰。
其他設定可保留預設值，然後點選「下一步」。
選擇「事件類型」，視需要新增「資料事件」，然後點選「下一步」。
查看「查看並建立」中的設定，然後按一下「建立記錄」。
在 AWS 主控台中搜尋「Amazon S3 值區」。
按一下新建立的記錄檔 bucket，然後選取「AWSLogs」資料夾。然後按一下「複製 S3 URI」，並儲存該 URI，以便在後續步驟中使用。

設定 AWS 身分與存取權管理使用者

在這個步驟中，我們會設定 AWS IAM 使用者，Google SecOps 會使用這個使用者從 AWS 取得記錄檔動態消息。

在 AWS 控制台中搜尋「IAM」。
按一下「使用者」，然後在下一個畫面中點選「新增使用者」。
為使用者提供名稱，例如 chronicle-feed-user，選取 AWS 憑證類型，例如存取金鑰 - 程式存取，然後按一下「Next: Permissions」。
在下一個步驟中，選取「直接附加現有政策」，然後視需要選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」。如果 Google SecOps 應在讀取記錄後清除 S3 值區，以便降低 AWS S3 儲存空間費用，則會使用 AmazonS3FullAccess。點選「下一步：標記」。
您可以建立自訂政策，進一步將存取權限制在指定的 S3 儲存桶，這是建議的替代方案，按一下「建立政策」，然後按照 AWS 說明文件建立自訂政策。
視需要新增任何標記，然後依序點選「下一步」>「查看」。
檢查設定，然後按一下「建立使用者」。
複製已建立使用者的「存取金鑰 ID」和「存取密鑰」，以便在下一個步驟中使用。

設定 Google SecOps 中的動態饋給，以便擷取 AWS 記錄

前往 Google Security Operations 設定，然後按一下「動態饋給」。
按一下「新增」。
選取「Amazon S3」做為動態饋給的「來源類型」。
在「Log Type」(記錄類型) 中，選取「AWS CloudTrail」(或其他 AWS 服務)。

點選「下一步」。
選取「region」(區域)，並提供先前複製的 Amazon S3 值區的 S3 URI。此外，您可以附加 S3 URI，並使用以下方式：
```
{{datetime("yyyy/MM/dd","+8H")}}
```
如以下範例所示，Google SecOps 每次掃描記錄時，只會掃描特定日期的記錄：
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd","+8H")}}/
```
在「URI 是」下方，選取「目錄 (包括子目錄)」。在「來源刪除選項」下方選取適當的選項，這應與我們先前建立的 IAM 使用者帳戶權限相符。
請提供先前建立的 IAM 使用者帳戶的 存取金鑰 ID 和 存取密鑰。
依序按一下「下一步」和「完成」。

擷取 AWS 內容資料的步驟

如要擷取 AWS 實體 (例如主機、執行個體和使用者) 的背景資料，請為下列每個記錄類型建立動態饋給，並依描述和擷取標籤列出：

AWS EC2 主機 (AWS_EC2_HOSTS)
AWS EC2 執行個體 (AWS_EC2_INSTANCES)
AWS EC2 VPC (AWS_EC2_VPCS)
AWS 身分與存取權管理 (IAM) (AWS_IAM)

如要為每個記錄類型建立動態饋給，請執行下列操作：

在導覽列中，依序選取「SIEM 設定」>「動態饋給」。
在「動態饋給」頁面中，按一下「新增動態饋給」。系統會隨即顯示「新增動態饋給」對話方塊。
在「Source type」選單中，選取「Third party API」。
在「Log Type」選單中，選取「AWS EC2 主機」。
點選「下一步」。
在欄位中輸入動態饋給的輸入參數。
依序按一下「下一步」和「完成」。

如要進一步瞭解如何為各個記錄類型設定動態饋給，請參閱下列動態饋給管理文件：

如要進一步瞭解如何建立動態饋給，請參閱動態饋給管理使用者指南或動態饋給管理 API。

欄位對應參考資料

這個剖析器程式碼會處理 JSON 格式的 AWS CloudTrail 記錄。首先會擷取原始記錄訊息並加以結構化，然後逐一遍歷「Records」陣列中的每個記錄，將單一事件轉換為與多個事件相同的格式。最後，它會將擷取的欄位對應至 Google Security Operations UDM 結構定義，並透過額外情境和安全相關資訊豐富資料。

UDM 對應表

記錄欄位	UDM 對應	邏輯
Records.0.additionalEventData .AuthenticationMethod	additional.fields .AuthenticationMethod.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .CipherSuite	additional.fields .CipherSuite.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .LoginTo	additional.fields .LoginTo.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .MFAUsed	extensions.auth.auth_details	如果值為「是」，UDM 欄位會設為「MFAUsed: Yes」。否則，該欄位會設為「MFAUsed: No」。
Records.0.additionalEventData .MobileVersion	additional.fields .MobileVersion.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .SamlProviderArn	additional.fields .SamlProviderArn.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .SignatureVersion	additional.fields .SignatureVersion.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.additionalEventData .bytesTransferredIn	network.received_bytes	直接對應原始記錄欄位，並轉換為無符號整數。
Records.0.additionalEventData .bytesTransferredOut	network.sent_bytes	直接對應原始記錄欄位，並轉換為無符號整數。
Records.0.additionalEventData .x-amz-id-2	additional.fields .x-amz-id-2.value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.awsRegion	principal.location.name	直接從原始記錄檔欄位進行對應。
Records.0.awsRegion	target.location.name	直接從原始記錄檔欄位進行對應。
Records.0.errorCode	security_result.rule_id	直接從原始記錄檔欄位進行對應。
Records.0.errorMessage	security_result.description	UDM 欄位會設為「Reason:」並連結原始記錄欄位的值。
Records.0.eventCategory	security_result.category_details	直接從原始記錄檔欄位進行對應。
Records.0.eventID	metadata.product_log_id	直接從原始記錄檔欄位進行對應。
Records.0.eventName	metadata.product_event_type	直接從原始記錄檔欄位進行對應。
Records.0.eventName	_metadata.event_type	根據原始記錄欄位的值進行對應。請參閱剖析器程式碼，瞭解具體對應項目。
Records.0.eventSource	target.application	直接從原始記錄檔欄位進行對應。
Records.0.eventSource	metadata.ingestion_labels.EventSource	直接從原始記錄檔欄位進行對應。
Records.0.eventTime	metadata.event_timestamp	直接對應原始記錄欄位，並解析為 ISO8601 時間戳記。
Records.0.eventVersion	metadata.product_version	直接從原始記錄檔欄位進行對應。
Records.0.managementEvent	additional.fields.ManagementEvent .value.string_value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.readOnly	additional.fields.ReadOnly .value.string_value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.recipientAccountId	principal.user.group_identifiers	直接從原始記錄檔欄位進行對應。
Records.0.recipientAccountId	target.resource.attribute .labels.Recipient Account Id.value	直接從原始記錄檔欄位進行對應。
Records.0.requestID	target.resource.attribute .labels.Request ID.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters	target.resource.attribute .labels	requestParameters 中的各個欄位會對應至目標資源屬性中的標籤。請參閱剖析器程式碼，瞭解具體對應項目。
Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters.accessKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.allocationId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.associationId	target.resource.attribute .labels.requestParameters associationId.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.certificateId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .configurationRecorder.name	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .configurationRecorderName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .createVolumePermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .createVolumePermission.add.items.0.userId	target.resource.attribute .labels.Add Items UserId.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .createVolumePermission.remove.items.0.userId	target.resource.attribute .labels.Remove Items UserId.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.detectorId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.destinationId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.directoryId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.documentName	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.egress	target.resource.attribute .labels.requestParameters egress.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.emailIdentity	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.enabled	target.resource.attribute .labels.Request Enabled.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value	target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.functionName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .granteePrincipal	principal.hostname	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .granteePrincipal	principal.asset.hostname	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.groupId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.groupName	target.group.group_display_name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.imageId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.instanceId	target.resource_ancestors.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .instanceProfileName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.instanceType	target.resource.attribute .labels.Instance Type.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .instancesSet.items.0.instanceId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .instancesSet.items.0.maxCount	target.resource.attribute .labels.Instance Set Max Count.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .instancesSet.items.0.minCount	target.resource.attribute .labels.Instance Set Min Count.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp	target.resource.attribute .labels.ipPermissions cidrIp.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.keyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters. launchPermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn	target.resource.attribute.labels .Add Items OrganizationalUnitArn .value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters. launchPermission.add.items .0.userId	target.resource.attribute .labels.Add Items UserId.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn	target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters. launchPermission.remove.items .0.userId	target.resource.attribute .labels.Remove Items UserId.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.loadBalancerArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.logGroupIdentifier	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.logGroupName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.name	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.name	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.networkAclId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .networkInterfaceId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.parentId	target.resource_ancestors.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.policyArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .policyArns.0.arn	target.resource.attribute .labels.Policy ARN 0.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .policyArns.1.arn	target.resource.attribute .labels.Policy ARN 1.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.policyName	target.resource.attribute .permissions.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.policyName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.principalArn	principal.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.publicKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.RegionName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.RegionName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.roleName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.sAMLProviderArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.secretId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.serialNumber	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .serviceSpecificCredentialId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.sendingEnabled	target.resource.attribute .labels.Request Sending Enabled.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.requestParameters.snapshotId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.sSHPublicKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.stackName	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.status	target.resource.attribute .labels.Request Parameter Status.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.subnetId	target.resource.attribute .labels.Subnet Id.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .targets.0.InstanceIds	target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters .targets.0.key	target.resource.attribute .labels.requestParameters.targets.0.key.value	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.trailName	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.userName	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.volumeId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.requestParameters.withDecryption	security_result.detection_fields .withDecryption.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.responseElements	target.resource.attribute.labels	responseElements 中的各個欄位會對應至目標資源屬性中的標籤。請參閱剖析器程式碼，瞭解具體對應項目。
Records.0.responseElements.accessKey.accessKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.accessKey.status	target.resource.attribute .labels.Response Access Key Status.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.accessKey.userName	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.allocationId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .certificate.certificateId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .certificate.status	target.resource.attribute .labels.Certificate Status.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .certificate.userName	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .credentials.accessKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .credentials.sessionToken	security_result.detection_fields .sessionToken.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createAccountStatus.accountId	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createCollectionDetail.arn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .createCollectionDetail.id	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .deleteCollectionDetail.id	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.description	target.resource.attribute .labels.Response Elements Description.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.destinationId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.detectorId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.directoryId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .domainStatus.aRN	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .domainStatus.domainId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .federatedUser.arn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .federatedUser.federatedUserId	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .firewall.firewallArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .firewall.firewallId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .firewall.firewallName	target.resource.attribute .labels.Firewall Name.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .flowLogIdSet.item	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.functionArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .group.arn	target.group.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .group.groupName	target.group.group_display_name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .image.imageId.imageDigest	src.file.sha256	UDM 欄位會設為原始記錄欄位中「sha256:」後方的值。
Records.0.responseElements .image.imageManifestMediaType	src.file.mime_type	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.instanceArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .instanceProfile.arn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .instancesSet.items.0.instanceId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.keyId	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .keyMetadata.arn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .keyMetadata.encryptionAlgorithms	security_result.detection_fields .encryptionAlgorithm.value	UDM 欄位會設為原始記錄欄位陣列中每個元素的值。
Records.0.responseElements .keyMetadata.keyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.keyPairId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .listeners.0.listenerArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .listeners.0.loadBalancerArn	target.resource.ancestors.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .loadBalancers.0.loadBalancerArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.newAssociationId	target.resource.attribute.labels .responseElements newAssociationId.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.packedPolicySize	security_result.detection_fields .packedPolicySize.value	直接從原始記錄欄位對應，並轉換為字串。
Records.0.responseElements .publicKey.publicKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.sAMLProviderArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .sSHPublicKey.sSHPublicKeyId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .sSHPublicKey.status	target.resource.attribute .labels.SSH Public Key Status.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .securityGroupRuleSet.items.0.groupId	security_result.rule_labels.Group Id.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol	network.ip_protocol	直接從原始記錄欄位對應，並轉換為大寫。
Records.0.responseElements .securityGroupRuleSet.items.0.isEgress	network.direction	如果值為「false」，則會將 UDM 欄位設為「INBOUND」。否則，該欄位會設為「OUTBOUND」。
Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId	security_result.rule_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .serviceSpecificCredential.serviceName	target.resource.attribute.labels .特定憑證 ServiceName .value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .serviceSpecificCredential.serviceUserName	target.resource.attribute.labels .Specific Credential Service UserName .value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .serviceSpecificCredential.status	target.resource.attribute .labels.Specific Credential Status.value	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .serviceSpecificCredential.userName	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.snapshotId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.stackId	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .tableDescription.tableArn	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .tableDescription.tableId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.trailARN	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .user.arn	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .user.userId	target.user.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .user.userName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements .virtualMFADevice.serialNumber	target.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.responseElements.volumeId	target.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.resources	target.resource	資源陣列中的第一個元素會對應至目標資源。其他元素會對應至 about 欄位。
Records.0.sharedEventID	additional.fields.SharedEventID .value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.sourceIPAddress	principal.asset.ip	直接從原始記錄檔欄位進行對應。
Records.0.sourceIPAddress	principal.ip	直接從原始記錄檔欄位進行對應。
Records.0.sourceIPAddress	src_ip	直接從原始記錄檔欄位進行對應。
Records.0.tlsDetails.cipherSuite	network.tls.cipher	直接從原始記錄檔欄位進行對應。
Records.0.tlsDetails.clientProvidedHostHeader	security_result.detection_fields .clientProvidedHostHeader.value	直接從原始記錄檔欄位進行對應。
Records.0.tlsDetails.tlsVersion	network.tls.version	直接從原始記錄檔欄位進行對應。
Records.0.userAgent	network.http.user_agent	直接從原始記錄檔欄位進行對應。
Records.0.userAgent	network.http.parsed_user_agent	直接對應原始記錄欄位，並剖析為使用者代理程式字串。
Records.0.userIdentity.accessKeyId	additional.fields.accessKeyId .value.string_value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.accountId	principal.resource.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.accountId	principal.user.group_identifiers	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.arn	principal.resource.name	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.arn	principal.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.arn	target.user.attribute .labels.ARN.value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.invokedBy	principal.user.userid	UDM 欄位會設為原始記錄欄位中「.amazonaws.com」前面的值。
Records.0.userIdentity.principalId	principal.user.product_object_id	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.principalId	principal.user.attribute .labels.principalId.value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated	principal.user.attribute .labels.mfaAuthenticated.value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity .sessionContext.sessionIssuer.arn	target.user.attribute .labels.ARN.value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity .sessionContext.sessionIssuer.principalId	target.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity .sessionContext.sessionIssuer.type	target.user.attribute .labels.Type.value	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity .sessionContext.sessionIssuer.userName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.type	principal.resource.resource_subtype	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.type	principal.resource.type	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.userName	principal.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.userName	src.user.userid	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.userName	src.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.0.userIdentity.userName	target.user.user_display_name	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .AuthenticationMethod	additional.fields.AuthenticationMethod .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .CipherSuite	additional.fields.CipherSuite .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .LoginTo	additional.fields.LoginTo .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .MFAUsed	extensions.auth.auth_details	如果值為「是」，UDM 欄位會設為「MFAUsed: Yes」。否則，該欄位會設為「MFAUsed: No」。
Records.1.additionalEventData .MobileVersion	additional.fields.MobileVersion .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .SamlProviderArn	additional.fields.SamlProviderArn .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .SignatureVersion	additional.fields.SignatureVersion .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.additionalEventData .bytesTransferredIn	network.received_bytes	直接對應原始記錄欄位，並轉換為無符號整數。
Records.1.additionalEventData .bytesTransferredOut	network.sent_bytes	直接對應原始記錄欄位，並轉換為無符號整數。
Records.1.additionalEventData .x-amz-id-2	additional.fields.x-amz-id-2 .value.string_value	直接從原始記錄檔欄位進行對應。
Records.1.awsRegion	principal.location.name	直接從原始記錄檔欄位進行對應。
Records.1.awsRegion	target.location.name	直接從原始記錄檔欄位進行對應。
Records.1.errorCode	security_result.rule_id	直接從原始記錄檔欄位進行對應。
Records.1.errorMessage	security_result.description	UDM 欄位會設為「Reason:」並連結原始記錄欄位的值。
Records.1.eventCategory	security_result.category_details	直接從原始記錄檔欄位進行對應。
Records.1.eventID	metadata.product_log_id	直接從原始記錄檔欄位進行對應。
Records.1.eventName	metadata.product_event_type	直接從原始記錄檔欄位進行對應。
Records.1.eventName	_metadata.event_type	根據原始記錄欄位的值進行對應。請參閱剖析器程式碼，瞭解具體對應項目。
Records.1.eventSource	target.application	直接從原始記錄檔欄位進行對應。
Records.1.eventSource	metadata.ingestion_labels.EventSource	直接從原始記錄檔欄位進行對應。
Records.1.eventTime	metadata.event_timestamp	直接對應原始記錄欄位，並解析為 ISO8601 時間戳記。
Records.1.eventVersion	metadata.product_version	直接從原始記錄檔欄位進行對應。
Records.1.managementEvent	additional.fields.ManagementEvent .value.string_value	直接從原始記錄欄位對應，並轉換為字串。
Records.1.readOnly	additional.fields.ReadOnly .value

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。