AWS CloudWatch-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie AWS CloudWatch-Logs in Google Security Operations aufnehmen. AWS CloudWatch ist ein Monitoring- und Observability-Dienst, der Betriebsdaten in Form von Protokollen, Messwerten und Ereignissen erfasst. Mit dieser Integration können Sie diese Protokolle zur Analyse und Überwachung an Google SecOps senden.

Vorbereitung

• Sie benötigen eine Google SecOps-Instanz.
• Sie benötigen erhöhte Zugriffsrechte für AWS.

Amazon S3-Bucket erstellen

Wir empfehlen, einen Bucket zu verwenden, der speziell für CloudWatch-Protokolle erstellt wurde.

1. Öffnen Sie die Amazon S3-Konsole.
2. Bei Bedarf können Sie die Region ändern.
   • Wählen Sie in der Navigationsleiste die Region aus, in der sich Ihre CloudWatch-Protokolle befinden.
3. Klicken Sie auf Bucket erstellen.
   • Bucket-Name: Geben Sie einen aussagekräftigen Namen für den Bucket ein.
   • Region: Wählen Sie die Region aus, in der sich Ihre CloudWatch-Protokolldaten befinden.
   • Klicken Sie auf Erstellen.

IAM-Nutzer mit Vollzugriff auf Amazon S3 und CloudWatch-Protokolle erstellen

1. Öffnen Sie die IAM-Konsole.
2. Klicken Sie auf Nutzer > Nutzer hinzufügen.
3. Geben Sie einen Nutzernamen ein, z. B. CWExport.
4. Wählen Sie Programmatic access (Programmzugriff) und AWS Management Console access (Zugriff auf die AWS Management Console) aus.
5. Wählen Sie entweder Automatisch generiertes Passwort oder Benutzerdefiniertes Passwort aus.
6. Klicken Sie auf Next: Permissions.
7. Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
8. Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsFullAccess und wählen Sie sie für den Nutzer aus.
9. Klicken Sie auf Weiter: Tags.
10. Klicken Sie auf Weiter: Überprüfen.
11. Klicken Sie auf Nutzer erstellen.

Berechtigungen für den Amazon S3-Bucket konfigurieren

1. Wählen Sie in der Amazon S3 Console den zuvor erstellten Bucket aus.
2. Klicken Sie auf Berechtigungen > Bucket-Richtlinie.

3. Fügen Sie im Bucket-Richtlinieneditor die folgende Richtlinie hinzu.

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Ändern und aktualisieren Sie die folgenden json-Variablen:

   • Ersetzen Sie cw-exported-logs durch den Namen Ihres S3-Buckets.
   • Ersetzen Sie random-string durch eine zufällig generierte Zeichenfolge.
   • Achten Sie darauf, den richtigen Regionalendpunkt für Principal anzugeben.

5. Klicken Sie auf Speichern, um die gerade hinzugefügte Richtlinie als Zugriffsrichtlinie für Ihren Bucket festzulegen.

CloudWatch Export konfigurieren

1. Melden Sie sich mit dem zuvor erstellten IAM-Nutzer an.
2. Öffnen Sie die CloudWatch-Konsole.
3. Wählen Sie im Navigationsmenü Protokollgruppen aus.
4. Wählen Sie den Namen einer vorhandenen Protokollgruppe aus oder erstellen Sie eine neue Protokollgruppe.
5. Wählen Sie Aktionen > Daten nach Amazon S3 exportieren aus.
6. Suchen Sie auf dem Bildschirm Daten nach Amazon S3 exportieren nach Datenexport definieren.
7. Legen Sie mit Von und Bis den Zeitraum für die zu exportierenden Daten fest.

1. S3-Bucket auswählen: Wählen Sie das Konto aus, das mit dem Amazon S3-Bucket verknüpft ist.
2. S3-Bucket-Name: Wählen Sie einen Amazon S3-Bucket aus.
3. S3-Bucket-Präfix: Geben Sie den zufällig generierten String ein, den Sie in der Bucket-Richtlinie angegeben haben.
4. Wählen Sie Exportieren aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.
5. Wenn Sie den Status der Protokolldaten aufrufen möchten, die Sie in Amazon S3 exportiert haben, wählen Sie Aktionen > Alle Exporte nach Amazon S3 ansehen aus.

Feed in Google SecOps für die Aufnahme von AWS CloudWatch-Logs konfigurieren

1. Gehen Sie zu SIEM-Einstellungen > Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS CloudWatch-Protokolle.
4. Wählen Sie als Quelltyp Amazon S3 aus.
5. Wählen Sie AWS CloudWatch als Logtyp aus.
6. Klicken Sie auf Weiter.

7. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Region: die Region, in der sich der Amazon S3-Bucket befindet.
   • S3-URI: der Bucket-URI.
     • s3://your-log-bucket-name/
       • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen des Buckets.
   • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

   • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

   • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.

   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

   • Asset-Namespace: der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

8. Klicken Sie auf Weiter.

9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
account	principal.user.userid	Der Wert von account aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
account_id	principal.user.userid	Der Wert von account_id aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
AlertId	metadata.product_log_id	Der Wert von AlertId aus dem Rohprotokoll wird dem Feld metadata.product_log_id zugeordnet.
arrivalTimestamp	metadata.event_timestamp	Der Wert von arrivalTimestamp aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
attemptsMade	additional.fields	Der Wert von attemptsMade aus dem Rohprotokoll wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „Attempts Made“ (Ausgeführte Versuche) zu additional.fields hinzugefügt.
awsAccountId	principal.asset_id	Dem Wert von awsAccountId aus dem Rohprotokoll wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
billed_duration	additional.fields	Der Wert von billed_duration aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „billed_duration“ hinzugefügt.
BytesIn	network.received_bytes	Der Wert von BytesIn aus dem Rohprotokoll wird in eine vorzeichenlose Ganzzahl konvertiert und dem Feld network.received_bytes zugeordnet.
cipher	network.tls.cipher	Der Wert von cipher aus dem Rohprotokoll wird dem Feld network.tls.cipher zugeordnet.
Ciphers	network.tls.client.supported_ciphers	Der Wert von Ciphers aus dem Rohprotokoll wird durch Kommas getrennt und jeder Wert wird dem Array network.tls.client.supported_ciphers hinzugefügt.
cloudwatchLog	security_result.description	Der Wert von cloudwatchLog aus dem Rohprotokoll wird dem Feld security_result.description zugeordnet.
CloudAccountId	metadata.product_deployment_id	Der Wert von CloudAccountId aus dem Rohprotokoll wird dem Feld metadata.product_deployment_id zugeordnet.
CloudType	target.resource.attribute.cloud.environment	Der Wert von CloudType aus dem Rohprotokoll bestimmt den Wert von target.resource.attribute.cloud.environment. Wenn CloudType „gcp“ ist, lautet der Wert „GOOGLE_CLOUD_PLATFORM“. Wenn CloudType „aws“ ist, lautet der Wert „AMAZON_WEB_SERVICES“. Wenn CloudType „azure“ ist, lautet der Wert „MICROSOFT_AZURE“.
Context.Execution.Id	target.resource.attribute.labels	Der Wert von Context.Execution.Id aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Kontext-ID“ hinzugefügt.
Context.Execution.Name	target.resource.attribute.labels	Der Wert von Context.Execution.Name aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Kontextname“ hinzugefügt.
Context.Execution.RoleArn	target.resource.product_object_id	Der Wert von Context.Execution.RoleArn aus dem Rohprotokoll wird dem Feld target.resource.product_object_id zugeordnet.
descr	metadata.description	Der Wert von descr aus dem Rohprotokoll wird, nachdem alle zusätzlichen Leerzeichen entfernt wurden, dem Feld metadata.description zugeordnet, sofern er nicht „-“ lautet. Wenn descr leer ist, wird stattdessen der Wert von log verwendet.
destination.name	target.location.country_or_region	Der Wert von destination.name aus dem Rohprotokoll wird dem Feld target.location.country_or_region zugeordnet.
destination.properties.prefix	target.resource.attribute.labels	Der Wert von destination.properties.prefix aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Ziel-Properties-Präfix“ hinzugefügt.
detail.additionalEventData.configRuleArn	security_result.rule_id	Der Wert von detail.additionalEventData.configRuleArn aus dem Rohprotokoll wird dem Feld security_result.rule_id zugeordnet.
detail.additionalEventData.configRuleName	security_result.rule_name	Der Wert von detail.additionalEventData.configRuleName aus dem Rohprotokoll wird dem Feld security_result.rule_name zugeordnet.
detail.additionalEventData.managedRuleIdentifier	additional.fields	Der Wert von detail.additionalEventData.managedRuleIdentifier aus dem Rohprotokoll wird dem additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „managedRuleIdentifier“ hinzugefügt.
detail.additionalEventData.notificationJobType	additional.fields	Der Wert von detail.additionalEventData.notificationJobType aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „notificationJobType“ hinzugefügt.
detail.awsAccountId	principal.asset_id	Dem Wert von detail.awsAccountId aus dem Rohprotokoll wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
detail.awsRegion	principal.location.name	Der Wert von detail.awsRegion aus dem Rohprotokoll wird dem Feld principal.location.name zugeordnet.
detail.configRuleArn	security_result.rule_id	Der Wert von detail.configRuleArn aus dem Rohprotokoll wird dem Feld security_result.rule_id zugeordnet.
detail.configRuleName	security_result.rule_name	Der Wert von detail.configRuleName aus dem Rohprotokoll wird dem Feld security_result.rule_name zugeordnet.
detail.configurationItem.awsAccountId	principal.user.userid	Der Wert von detail.configurationItem.awsAccountId aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
detail.configurationItem.awsRegion	target.location.country_or_region	Der Wert von detail.configurationItem.awsRegion aus dem Rohprotokoll wird dem Feld target.location.country_or_region zugeordnet.
detail.configurationItem.configuration.complianceType	security_result.summary	Der Wert von detail.configurationItem.configuration.complianceType aus dem Rohprotokoll wird dem Feld security_result.summary zugeordnet.
detail.configurationItem.configuration.targetResourceId	target.resource.attribute.labels	Der Wert von detail.configurationItem.configuration.targetResourceId aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configuration targetResourceId“ hinzugefügt.
detail.configurationItem.configuration.targetResourceType	target.resource.attribute.labels	Der Wert von detail.configurationItem.configuration.targetResourceType aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configuration targetResourceType“ hinzugefügt.
detail.configurationItem.configurationItemCaptureTime	_target.asset.attribute.creation_time	Der Wert von detail.configurationItem.configurationItemCaptureTime aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und dem Feld _target.asset.attribute.creation_time zugeordnet.
detail.configurationItem.configurationItemStatus	target.resource.attribute.labels	Der Wert von detail.configurationItem.configurationItemStatus aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configurationItemStatus“ hinzugefügt.
detail.configurationItem.configurationStateId	target.resource.attribute.labels	Der Wert von detail.configurationItem.configurationStateId aus dem Rohprotokoll wird in eine Zeichenfolge konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configurationStateId“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.resourceId	target.resource.id	Der Wert von detail.configurationItem.resourceId aus dem Rohprotokoll wird dem Feld target.resource.id zugeordnet.
detail.configurationItem.resourceType	target.resource.resource_subtype	Der Wert von detail.configurationItem.resourceType aus dem Rohprotokoll wird dem Feld target.resource.resource_subtype zugeordnet.
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn	security_result.rule_id	Der Wert von detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn aus dem Rohprotokoll wird dem Feld security_result.rule_id zugeordnet.
detail.eventCategory	security_result.category_details	Der Wert von detail.eventCategory aus dem Rohprotokoll wird dem Feld security_result.category_details zugeordnet.
detail.eventID	metadata.product_log_id	Der Wert von detail.eventID aus dem Rohprotokoll wird dem Feld metadata.product_log_id zugeordnet.
detail.eventName	additional.fields	Der Wert von detail.eventName aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Ereignisname“ hinzugefügt.
detail.eventSource	target.application	Der Wert von detail.eventSource aus dem Rohprotokoll wird dem Feld target.application zugeordnet.
detail.eventType	additional.fields	Der Wert von detail.eventType aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Ereignistyp“ hinzugefügt.
detail.eventVersion	metadata.product_version	Der Wert von detail.eventVersion aus dem Rohprotokoll wird dem Feld metadata.product_version zugeordnet.
detail.managementEvent	additional.fields	Der Wert von detail.managementEvent aus dem Rohprotokoll wird in einen String umgewandelt und der additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „detail managementEvent“ hinzugefügt.
detail.messageType	target.resource.attribute.labels	Der Wert von detail.messageType aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Message Type“ hinzugefügt.
detail.newEvaluationResult.complianceType	security_result.summary	Der Wert von detail.newEvaluationResult.complianceType aus dem Rohprotokoll wird dem Feld security_result.summary zugeordnet.
detail.newEvaluationResult.configRuleInvokedTime	additional.fields	Der Wert von detail.newEvaluationResult.configRuleInvokedTime aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleInvokedTime“ hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName	additional.fields	Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleName“ hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId	additional.fields	Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceId“ hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType	additional.fields	Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceType“ hinzugefügt.
detail.newEvaluationResult.resultRecordedTime	additional.fields	Der Wert von detail.newEvaluationResult.resultRecordedTime aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resultRecordedTime“ hinzugefügt.
detail.oldEvaluationResult.configRuleInvokedTime	additional.fields	Der Wert von detail.oldEvaluationResult.configRuleInvokedTime aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleInvokedTime“ hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName	additional.fields	Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleName“ hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId	additional.fields	Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceId“ hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType	additional.fields	Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceType“ hinzugefügt.
detail.oldEvaluationResult.resultRecordedTime	additional.fields	Der Wert von detail.oldEvaluationResult.resultRecordedTime aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resultRecordedTime“ hinzugefügt.
detail.readOnly	additional.fields	Der Wert von detail.readOnly aus dem Rohprotokoll wird in einen String konvertiert und der additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „detail readOnly“ hinzugefügt.
detail.recipientAccountId	target.resource.attribute.labels	Der Wert von detail.recipientAccountId aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Recipient Account Id“ hinzugefügt.
detail.recordVersion	metadata.product_version	Der Wert von detail.recordVersion aus dem Rohprotokoll wird dem Feld metadata.product_version zugeordnet.
detail.requestID	target.resource.attribute.labels	Der Wert von detail.requestID aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Detail Request ID“ hinzugefügt.
detail.resourceType	target.resource.resource_subtype	Der Wert von detail.resourceType aus dem Rohprotokoll wird dem Feld target.resource.resource_subtype zugeordnet.
detail.s3Bucket	about.resource.name	Der Wert von detail.s3Bucket aus dem Rohprotokoll wird dem Feld about.resource.name zugeordnet.
detail.s3ObjectKey	target.resource.attribute.labels	Der Wert von detail.s3ObjectKey aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „s3ObjectKey“ hinzugefügt.
detail.userAgent	network.http.user_agent	Der Wert von detail.userAgent aus dem Rohprotokoll wird dem Feld network.http.user_agent zugeordnet.
detail.userIdentity.accessKeyId	target.user.userid	Der Wert von detail.userIdentity.accessKeyId aus dem Rohprotokoll wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.accountId	metadata.product_deployment_id	Der Wert von detail.userIdentity.accountId aus dem Rohprotokoll wird dem Feld metadata.product_deployment_id zugeordnet.
detail.userIdentity.arn	target.user.userid	Der Wert von detail.userIdentity.arn aus dem Rohprotokoll wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.principalId	principal.user.product_object_id	Der Wert von detail.userIdentity.principalId aus dem Rohprotokoll wird dem Feld principal.user.product_object_id zugeordnet.
detail.userIdentity.sessionContext.attributes.mfaAuthenticated	principal.user.attribute.labels	Der Wert von detail.userIdentity.sessionContext.attributes.mfaAuthenticated aus dem Rohprotokoll wird principal.user.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „mfaAuthenticated“ hinzugefügt.
detail.userIdentity.sessionContext.sessionIssuer.userName	target.user.user_display_name	Der Wert von detail.userIdentity.sessionContext.sessionIssuer.userName aus dem Rohprotokoll wird dem Feld target.user.user_display_name zugeordnet.
detail.userIdentity.type	principal.resource.type	Der Wert von detail.userIdentity.type aus dem Rohprotokoll wird dem Feld principal.resource.type zugeordnet.
detail-type	metadata.product_event_type	Der Wert von detail-type aus dem Rohprotokoll wird dem Feld metadata.product_event_type zugeordnet.
device	principal.asset.product_object_id	Der Wert von device aus dem Rohprotokoll wird dem Feld principal.asset.product_object_id zugeordnet.
digestPublicKeyFingerprint	target.file.sha1	Der Wert von digestPublicKeyFingerprint aus dem Rohprotokoll wird dem Feld target.file.sha1 zugeordnet.
digestS3Bucket	principal.resource.name	Der Wert von digestS3Bucket aus dem Rohprotokoll wird dem Feld principal.resource.name zugeordnet.
digestS3Object	principal.asset.asset_id	Dem Wert von digestS3Object aus dem Rohprotokoll wird „S3-Objekt: " vorangestellt und er wird dem Feld principal.asset.asset_id zugeordnet.
digestSignatureAlgorithm	network.tls.cipher	Der Wert von digestSignatureAlgorithm aus dem Rohprotokoll wird dem Feld network.tls.cipher zugeordnet.
digestStartTime	metadata.event_timestamp	Der Wert von digestStartTime aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
dimensions.VolumeId	additional.fields	Der Wert von dimensions.VolumeId aus dem Rohprotokoll wird dem additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „VolumeId“ hinzugefügt.
duration	additional.fields	Der Wert von duration aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „duration“ hinzugefügt.
errorCode	security_result.rule_name	Der Wert von errorCode aus dem Rohprotokoll wird dem Feld security_result.rule_name zugeordnet.
errorMessage	security_result.summary	Der Wert von errorMessage aus dem Rohprotokoll wird dem Feld security_result.summary zugeordnet.
executionId	principal.process.pid	Der Wert von executionId aus dem Rohprotokoll wird dem Feld principal.process.pid zugeordnet.
host	principal.hostname, principal.ip	Der Wert von host aus dem Rohprotokoll, bei dem Bindestriche durch Punkte ersetzt wurden, wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn der Vorgang erfolgreich war. Andernfalls wird es dem Feld principal.hostname zugeordnet.
http_verb	network.http.method	Der Wert von http_verb aus dem Rohprotokoll wird in Großbuchstaben umgewandelt und dem Feld network.http.method zugeordnet.
kubernetes.container_hash	additional.fields	Der Wert von kubernetes.container_hash aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „container_hash“ hinzugefügt.
kubernetes.container_image	additional.fields	Der Wert von kubernetes.container_image aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „container_image“ hinzugefügt.
kubernetes.container_name	additional.fields	Der Wert von kubernetes.container_name aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „container_name“ hinzugefügt.
kubernetes.docker_id	principal.asset_id	Dem Wert von kubernetes.docker_id aus dem Rohprotokoll wird „id:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
kubernetes.host	principal.hostname, principal.ip	Der Wert von kubernetes.host aus dem Rohprotokoll, bei dem Bindestriche durch Punkte ersetzt wurden, wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn der Vorgang erfolgreich war. Andernfalls wird es dem Feld principal.hostname zugeordnet.
kubernetes.namespace	principal.namespace	Der Wert von kubernetes.namespace aus dem Rohprotokoll wird dem Feld principal.namespace zugeordnet.
kubernetes.namespace_name	principal.namespace	Der Wert von kubernetes.namespace_name aus dem Rohprotokoll wird dem Feld principal.namespace zugeordnet.
kubernetes.pod_id	principal.asset.asset_id	Dem Wert von kubernetes.pod_id aus dem Rohprotokoll wird „pod_id: " vorangestellt und er wird dem Feld principal.asset.asset_id zugeordnet.
kubernetes.pod_name	additional.fields	Der Wert von kubernetes.pod_name aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Pod-Name“ hinzugefügt.
lambdaArn	principal.hostname	Der Wert von lambdaArn aus dem Rohprotokoll wird dem Feld principal.hostname zugeordnet.
level	security_result.severity	Der Wert von level aus dem Rohprotokoll bestimmt den Wert von security_result.severity. Wenn level „Info“ ist, ist der Wert „INFORMATIONSWEISEND“. Wenn level „Fehler“ ist, ist der Wert „FEHLER“. Wenn level „Warnung“ ist, ist der Wert „MITTEL“.
log	metadata.description	Der Wert von log aus dem Rohprotokoll wird dem Feld metadata.description zugeordnet, wenn descr leer ist.
logFiles	about	Für jedes Element im logFiles-Array aus dem Rohprotokoll wird ein about-Objekt erstellt, bei dem file.full_path auf s3Object, asset.hostname auf s3Bucket und file.sha256 auf hashValue festgelegt ist.
log_processed.cause	security_result.summary	Der Wert von log_processed.cause aus dem Rohprotokoll wird dem Feld security_result.summary zugeordnet.
log_processed.ids	intermediary.hostname	Für jedes Element im log_processed.ids-Array aus dem Rohprotokoll wird ein intermediary-Objekt erstellt, bei dem hostname auf den Wert des Elements festgelegt ist.
log_processed.level	security_result.severity	Der Wert von log_processed.level aus dem Rohprotokoll wird dem Feld security_result.severity zugeordnet.
log_processed.msg	metadata.description	Der Wert von log_processed.msg aus dem Rohprotokoll wird dem Feld metadata.description zugeordnet.
log_processed.ts	metadata.event_timestamp	Der Wert von log_processed.ts aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
log_type	metadata.log_type	Der Wert von log_type aus dem Rohprotokoll wird dem Feld metadata.log_type zugeordnet. Dies ist ein benutzerdefiniertes Feld, das für den Kontext hinzugefügt wurde.
logevent.message	security_result.description	Der Wert von logevent.message aus dem Rohprotokoll wird dem Feld security_result.description zugeordnet. Außerdem wird es mit Grok geparst, um zusätzliche Felder zu extrahieren.
logGroup	security_result.about.resource.name	Der Wert von logGroup aus dem Rohprotokoll wird dem Feld security_result.about.resource.name zugeordnet.
logStream	security_result.about.resource.attribute.labels	Der Wert von logStream aus dem Rohprotokoll wird security_result.about.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „logStream“ hinzugefügt.
memory_used	additional.fields	Der Wert von memory_used aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „memory_used“ hinzugefügt.
metric_name	additional.fields	Der Wert von metric_name aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „metric_name“ hinzugefügt.
metric_stream_name	additional.fields	Der Wert von metric_stream_name aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „metric_stream_name“ hinzugefügt.
namespace	principal.namespace	Der Wert von namespace aus dem Rohprotokoll wird dem Feld principal.namespace zugeordnet.
owner	principal.user.userid	Der Wert von owner aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
parameters	additional.fields	Der Wert von parameters aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „Parameter“ hinzugefügt.
Path	principal.process.file.full_path	Der Wert von Path aus dem Rohprotokoll wird dem Feld principal.process.file.full_path zugeordnet.
pid	principal.process.pid	Der Wert von pid aus dem Rohprotokoll wird dem Feld principal.process.pid zugeordnet.
PolicyName	security_result.rule_name	Der Wert von PolicyName aus dem Rohprotokoll wird dem Feld security_result.rule_name zugeordnet.
prin_host	principal.hostname	Der Wert von prin_host aus dem Rohprotokoll wird dem Feld principal.hostname zugeordnet.
principal_hostname	principal.hostname	Der Wert von principal_hostname aus dem Rohprotokoll wird dem Feld principal.hostname zugeordnet.
process	principal.application	Der Wert von process aus dem Rohprotokoll wird dem Feld principal.application zugeordnet.
rawData	additional.fields	Der Wert von rawData aus dem Rohprotokoll wird als Schlüssel/Wert-Paar mit dem Schlüssel „Raw Data“ (Rohdaten) zu additional.fields hinzugefügt.
Recommendation	security_result.detection_fields	Der Wert von Recommendation aus dem Rohprotokoll wird als Schlüssel/Wert-Paar mit dem Schlüssel „Empfehlung“ zu security_result.detection_fields hinzugefügt.
referral_url	network.http.referral_url	Der Wert von referral_url aus dem Rohprotokoll wird dem Feld network.http.referral_url zugeordnet.
region	principal.location.name	Der Wert von region aus dem Rohprotokoll wird dem Feld principal.location.name zugeordnet.
resp_code	network.http.response_code	Der Wert von resp_code aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und dem Feld network.http.response_code zugeordnet.
resource_url	network.http.referral_url	Der Wert von resource_url aus dem Rohprotokoll wird dem Feld network.http.referral_url zugeordnet.
ResourceType	target.resource.resource_subtype	Der Wert von ResourceType aus dem Rohprotokoll wird dem Feld target.resource.resource_subtype zugeordnet.
response_body	additional.fields	Der Wert von response_body aus dem Rohprotokoll wird als Schlüssel/Wert-Paar mit dem Schlüssel „Response body“ (Antworttext) zu additional.fields hinzugefügt.
Role	target.resource.product_object_id	Der Wert von Role aus dem Rohprotokoll wird dem Feld target.resource.product_object_id zugeordnet.
s3_bucket_path	target.file.full_path	Der Wert von s3_bucket_path aus dem Rohprotokoll wird dem Feld target.file.full_path zugeordnet.
sec_result.category	security_result.category	Der Wert von sec_result.category wird aus der Parserlogik abgeleitet. Wenn descr „authentication is required“ enthält, ist der Wert „AUTH_VIOLATION“.
sec_result.description	security_result.description	Der Wert von sec_result.description wird aus der Parserlogik abgeleitet. Er wird auf den Wert von cloudwatchLog gesetzt, falls vorhanden.
sec_result.severity	security_result.severity	Der Wert von sec_result.severity wird aus der Parserlogik abgeleitet. Sie wird basierend auf dem Wert von severity oder level festgelegt.
sec_result.summary	security_result.summary	Der Wert von sec_result.summary wird aus der Parserlogik abgeleitet. Er wird auf den Wert von log_processed.cause oder errorMessage gesetzt, falls vorhanden.
security_result	security_result	Das security_result-Objekt wird aus verschiedenen Feldern und Parserlogik erstellt.
serverId	additional.fields	Der Wert von serverId aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ hinzugefügt.
severity	security_result.severity	Der Wert von severity aus dem Rohprotokoll wird in Großbuchstaben umgewandelt und normalisiert und dem Feld security_result.severity zugeordnet.
Source	principal.hostname	Der Wert von Source aus dem Rohprotokoll wird dem Feld principal.hostname zugeordnet.
source	principal.hostname	Der Wert von source aus dem Rohprotokoll wird dem Feld principal.hostname zugeordnet.
SourceIP	principal.ip	Der Wert von SourceIP aus dem Rohprotokoll wird dem Feld principal.ip zugeordnet.
src_port	principal.port	Wenn src_port „80“ ist, wird es in eine Ganzzahl umgewandelt und dem Feld principal.port zugeordnet. network.application_protocol wird auf „HTTP“ gesetzt.
stream	additional.fields	Der Wert von stream aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „stream“ hinzugefügt.
subscriptionFilters	security_result.about.resource.attribute.labels	Für jedes Element im subscriptionFilters-Array aus dem Rohprotokoll wird security_result.about.resource.attribute.labels ein Schlüssel/Wert-Paar mit dem Schlüssel „subscriptionFilter“ und dem Wert aus dem Array hinzugefügt.
support_contact	target.resource.attribute.labels	Der Wert von support_contact aus dem Rohprotokoll wird target.resource.attribute.labels als Schlüssel/Wert-Paar mit dem Schlüssel „Support-Kontakt“ hinzugefügt.
t_ip	target.ip	Der Wert von t_ip aus dem Rohprotokoll wird nach dem Entfernen von Bindestriche als IP-Adresse geparst und dem Feld target.ip zugeordnet, wenn der Vorgang erfolgreich war.
time	metadata.event_timestamp	Der Wert von time aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
timestamp	metadata.event_timestamp	Der Wert von timestamp aus dem Rohprotokoll wird in verschiedene Formate für Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
tls	network.tls.version	Der Wert von tls aus dem Rohprotokoll wird dem Feld network.tls.version zugeordnet.
transferDetails.serverId	additional.fields	Der Wert von transferDetails.serverId aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ hinzugefügt.
transferDetails.sessionId	network.session_id	Der Wert von transferDetails.sessionId aus dem Rohprotokoll wird dem Feld network.session_id zugeordnet.
transferDetails.username	principal.user.user_display_name	Der Wert von transferDetails.username aus dem Rohprotokoll wird dem Feld principal.user.user_display_name zugeordnet.
ts	metadata.event_timestamp	Der Wert von ts aus dem Rohprotokoll wird zusammen mit der Zeitzone, sofern verfügbar, in einen Zeitstempel umgewandelt und dem Feld metadata.event_timestamp zugeordnet.
type	metadata.product_event_type	Der Wert von type aus dem Rohprotokoll wird dem Feld metadata.product_event_type zugeordnet.
unit	additional.fields	Der Wert von unit aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „unit“ hinzugefügt.
url	target.url	Der Wert von url aus dem Rohprotokoll wird dem Feld target.url zugeordnet.
url_back_to_product	metadata.url_back_to_product	Der Wert von url_back_to_product aus dem Rohprotokoll wird dem Feld metadata.url_back_to_product zugeordnet.
User	principal.user.userid	Der Wert von User aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
user	target.user.userid, metadata.event_type, extensions.auth.mechanism	Wenn user vorhanden ist, wird metadata.event_type auf „USER_LOGIN“ und extensions.auth.mechanism auf „NETWORK“ gesetzt. Der Wert von user wird dann target.user.userid zugeordnet.
value.count	additional.fields	Der Wert von value.count aus dem Rohprotokoll wird in einen String umgewandelt und der additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „count“ hinzugefügt.
value.max	additional.fields	Der Wert von value.max aus dem Rohprotokoll wird in einen String umgewandelt und der additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „max“ hinzugefügt.
value.min	additional.fields	Der Wert von value.min aus dem Rohprotokoll wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „min“ zu additional.fields hinzugefügt.
value.sum	additional.fields	Der Wert von value.sum aus dem Rohprotokoll wird in einen String umgewandelt und der additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „sum“ hinzugefügt.
workflowId	additional.fields	Der Wert von workflowId aus dem Rohprotokoll wird additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „workflowId“ hinzugefügt.

Änderungen

2024-02-12

• Verbesserung:
• Zeitstempel wurde in UNIX_MS zugeordnet.

2023-09-02

• Verbesserung:
• Ein „kv-Block“ wurde hinzugefügt, um Protokolle im Schlüssel/Wert-Format zu parsen.
• „SourceIP“ wurde auf „principal.ip“ zugeordnet.
• „prin_host“ wurde auf „principal.hostname“ zugeordnet.
• „Nutzer“ wurde auf „principal.user.userid“ zugeordnet.
• „Chiffren“ wurde zu „network.tls.client.supported_ciphers“ zugeordnet.
• „executionId“ wurde auf „principal.process.pid“ zugeordnet.
• „transferDetails.sessionId“ wurde in „network.session_id“ umgewandelt.
• „transferDetails.username“ wurde in „principal.user.user_display_name“ umgewandelt.
• Zugewiesen „transferDetails.serverId“, „workflowId“, „details.input.initialFileLocation.etag“, „details.input.initialFileLocation.backingStore“, „details.input.initialFileLocation.bucket“, „details.input.initialFileLocation.key“,
• „Mode“, „Kex“ zu „additional.fields“.
• „BytesIn“ wurde „network.received_bytes“ zugeordnet.
• „Rolle“ wurde „target.resource.product_object_id“ zugeordnet.

2023-08-18

• Verbesserung:
• Es wurde ein Grok-Muster hinzugefügt, um die nicht geparsten Rohlogs zu parsen.

2023-07-07

• Verbesserung:
• Unterstützung für JSON-Logs vom Typ „logEvents“ hinzugefügt.

2022-12-17

• „CloudType“ wurde auf „target.resource.attribute.cloud.environment“ zugeordnet.
• „AlertId“ wurde mit „metadata.product_log_id“ verknüpft.
• „ResourceType“ wurde auf „target.resource.resource_subtype“ zugeordnet.
• „ResourceRegion“ wurde „target.location.country_or_region“ zugeordnet.
• „Empfehlung“ wurde in „security_result.detection_fields“ zugeordnet.
• „PolicyName“, „detail.additionalEventData.configRuleName“ wurden in „security_result.rule_name“ umgewandelt.
• „detail-type“ wurde auf „metadata.product_event_type“ zugeordnet.
• „region“ und „detail.awsRegion“ wurden „principal.location.name“ zugeordnet.
• „detail.eventSource“ wurde „target.application“ zugeordnet.
• „detail.requestID“ wurde auf „target.resource.attribute.labels“ zugeordnet.
• „detail.userAgent“ wurde in „network.http.user_agent“ geändert.
• „detail.eventVersion“ wurde auf „metadata.product_version“ zugeordnet.
• „detail.userIdentity.accountId“ wurde in „metadata.product_deployment_id“ umgewandelt.
• „detail.userIdentity.accessKeyId“ wurde „target.user.userid“ zugeordnet.
• „detail.userIdentity.type“ wurde in „principal.resource.type“ umgewandelt.
• „detail.userIdentity.principalId“ wurde in „principal.user.product_object_id“ umgewandelt.
• „detail.user.arn“ wurde „target.user.userid“ zugeordnet.
• „detail.user.sessionContext.sessionIssuer.userName“ wurde „target.user.user_display_name“ zugeordnet.
• „detail.user.mfaAuthenticated“ wurde in „principal.user.attribute.labels“ geändert.
• „detail.recipientAccountId“ wurde „target.resource.attribute.labels“ zugeordnet.
• „detail.managementEvent“, „detail.eventType“, „detail.readOnly“, „detail.eventName“, „detail.additionalEventData.notificationJobType“, „detail.additionalEventData.managedRuleIdentifier“, „duration“, „billed_duration“ und „memory_used“ wurden in „additional.fields“ umgewandelt.
• „detail.eventCategory“ wurde in „security_result.category_details“ umgewandelt.
• „detail.eventID“ wurde mit „metadata.product_log_id“ abgeglichen.
• „detail.additionalEventData.configRuleArn“ wurde in „security_result.rule_id“ umgewandelt.
• „level“ wurde „security_result.severity“ zugeordnet.
• „src_port“ wurde „principal.port“ zugeordnet.
• „request_id“ wurde auf „target.resource.attribute.labels“ zugeordnet.
• „url“ wurde „target.url“ zugeordnet.

2022-09-03

• Verbesserung:
• Grok wurde hinzugefügt, um neu aufgenommene Protokolle zu parsen.
• „package“ wurde auf „event.idm.read_only_udm.principal.process.command_line“ zugeordnet.
• „session_id“ wurde zu „event.idm.read_only_udm.network.session_id“ zugeordnet.
• „network_dir“ wurde „event.idm.read_only_udm.network.direction“ zugeordnet.
• „port“ wurde „event.idm.read_only_udm.target.port“ zugeordnet.
• „digestPublicKeyFingerprint“ wurde von „additional.fields“ in „event.idm.read_only_udm.target.file.sha1“ ummapped.
• Es wurden weitere Logebenen wie „AUDIT“, „TRACE“, „DEBUG“, „NOTICE“ und „ERROR“ für die Zuordnung der Wichtigkeit hinzugefügt.
• Der Wert in „target.ip“ wurde in „principal.ip“ dupliziert, um „event_type“ auf „STATUS_UPDATE“ festzulegen und so den generischen Prozentsatz zu reduzieren.
• Es wurden Bedingungen für „event_type“ „USER_UNCATEGORIZED“, „NETWORK_HTTP“, „NETWORK_CONNECTION“ und „STATUS_UPADTE“ hinzugefügt, um den generischen Prozentsatz zu reduzieren.

2022-08-11

• Fehlerkorrektur: „digestS3Bucket“ wurde in „principal.resource.name“ ummapped.
• „kubernetes.pod_name“ wurde in „additional.fields“ ummapped.

2022-05-27

• Verbesserung:
• Der in „metadata.product_name“ gespeicherte Wert wurde in „AWS CloudWatch“ und der in „metadata.vendor_name“ gespeicherte Wert in „AMAZON“ geändert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten