Mengumpulkan log AWS CloudWatch

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS CloudWatch ke Google Security Operations. AWS CloudWatch adalah layanan pemantauan dan observasi, yang mengumpulkan data operasional dalam bentuk log, metrik, dan peristiwa. Integrasi ini memungkinkan Anda mengirim log ini ke Google SecOps untuk dianalisis dan dipantau.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Membuat bucket Amazon S3

Sebaiknya gunakan bucket yang dibuat khusus untuk log CloudWatch.

  1. Buka konsol Amazon S3.
  2. Jika diperlukan, Anda dapat mengubah Wilayah.
    • Dari menu navigasi, pilih Region tempat CloudWatch Logs Anda berada.
  3. Klik Create Bucket.
    • Nama Bucket: masukkan nama yang bermakna untuk bucket.
    • Region: pilih region tempat data CloudWatch Logs Anda berada.
    • Klik Buat.

Membuat pengguna IAM dengan akses penuh ke Amazon S3 dan CloudWatch Logs

  1. Buka konsol IAM.
  2. Klik Pengguna > Tambahkan pengguna.
  3. Masukkan nama pengguna (misalnya, CWExport).
  4. Pilih Akses terprogram dan Akses AWS Management Console.
  5. Pilih Sandi yang dibuat otomatis atau Sandi kustom.
  6. Klik Berikutnya: Izin.
  7. Pilih Lampirkan kebijakan yang ada secara langsung.
  8. Telusuri dan pilih kebijakan AmazonS3FullAccess dan CloudWatchLogsFullAccess untuk pengguna.
  9. Klik Berikutnya: Tanda.
  10. Klik Berikutnya: Tinjau.
  11. Klik Buat pengguna.

Mengonfigurasi izin di bucket Amazon S3

  1. Di konsol Amazon S3, pilih bucket yang sebelumnya Anda buat.
  2. Klik Izin > Kebijakan bucket.

  3. Di Bucket Policy Editor, tambahkan kebijakan berikut.

    {             
  "Version": "2012-10-17",
  "Statement": [
      {
        "Action": "s3:GetBucketAcl",
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::cw-exported-logs",
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
      },
      {
        "Action": "s3:PutObject" ,
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
        "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }

      }

  ]

}

  4. Ubah dan perbarui variabel json berikut:

    • Ubah cw-exported-logs menjadi nama bucket S3 Anda.
    • Ubah random-string menjadi string karakter yang dibuat secara acak.
    • Pastikan untuk menentukan Endpoint region yang benar untuk Prinsipal.

  5. Klik Simpan untuk menetapkan kebijakan yang baru saja Anda tambahkan sebagai kebijakan akses di bucket.

Mengonfigurasi Ekspor CloudWatch

  1. Login sebagai pengguna IAM yang telah Anda buat sebelumnya.
  2. Buka konsol CloudWatch.
  3. Di menu navigasi, pilih Grup log.
  4. Pilih nama grup log yang ada atau buat grup log baru.
  5. Pilih Tindakan > Ekspor data ke Amazon S3.
  6. Di layar Export data to Amazon S3, cari Define data export.
  7. Tetapkan rentang waktu untuk data yang akan diekspor menggunakan Dari dan Sampai.
  1. Choose S3 bucket: pilih akun yang terkait dengan bucket Amazon S3.
  2. Nama bucket S3: pilih bucket Amazon S3.
  3. Awalan Bucket S3: masukkan string yang dibuat secara acak yang Anda tentukan dalam kebijakan bucket.
  4. Pilih Ekspor untuk mengekspor data log ke Amazon S3.
  5. Untuk melihat status data log yang Anda ekspor ke Amazon S3, pilih Tindakan > Lihat semua ekspor ke Amazon S3.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS CloudWatch

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS CloudWatch Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS CloudWatch sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
account principal.user.userid Nilai account dari log mentah dipetakan ke kolom principal.user.userid.
account_id principal.user.userid Nilai account_id dari log mentah dipetakan ke kolom principal.user.userid.
AlertId metadata.product_log_id Nilai AlertId dari log mentah dipetakan ke kolom metadata.product_log_id.
arrivalTimestamp metadata.event_timestamp Nilai arrivalTimestamp dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
attemptsMade additional.fields Nilai attemptsMade dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Attempts Made".
awsAccountId principal.asset_id Nilai awsAccountId dari log mentah diawali dengan "AWS Account id: " dan dipetakan ke kolom principal.asset_id.
billed_duration additional.fields Nilai billed_duration dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "billed_duration".
BytesIn network.received_bytes Nilai BytesIn dari log mentah dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke kolom network.received_bytes.
cipher network.tls.cipher Nilai cipher dari log mentah dipetakan ke kolom network.tls.cipher.
Ciphers network.tls.client.supported_ciphers Nilai Ciphers dari log mentah dipisahkan dengan koma dan setiap nilai ditambahkan ke array network.tls.client.supported_ciphers.
cloudwatchLog security_result.description Nilai cloudwatchLog dari log mentah dipetakan ke kolom security_result.description.
CloudAccountId metadata.product_deployment_id Nilai CloudAccountId dari log mentah dipetakan ke kolom metadata.product_deployment_id.
CloudType target.resource.attribute.cloud.environment Nilai CloudType dari log mentah menentukan nilai target.resource.attribute.cloud.environment. Jika CloudType adalah "gcp", nilainya adalah "GOOGLE_CLOUD_PLATFORM". Jika CloudType adalah "aws", nilainya adalah "AMAZON_WEB_SERVICES". Jika CloudType adalah "azure", nilainya adalah "MICROSOFT_AZURE".
Context.Execution.Id target.resource.attribute.labels Nilai Context.Execution.Id dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "ID Konteks".
Context.Execution.Name target.resource.attribute.labels Nilai Context.Execution.Name dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Nama Konteks".
Context.Execution.RoleArn target.resource.product_object_id Nilai Context.Execution.RoleArn dari log mentah dipetakan ke kolom target.resource.product_object_id.
descr metadata.description Nilai descr dari log mentah, setelah menghapus spasi kosong tambahan, dipetakan ke kolom metadata.description kecuali jika "-". Jika descr kosong, nilai log akan digunakan.
destination.name target.location.country_or_region Nilai destination.name dari log mentah dipetakan ke kolom target.location.country_or_region.
destination.properties.prefix target.resource.attribute.labels Nilai destination.properties.prefix dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Akhiran properti tujuan".
detail.additionalEventData.configRuleArn security_result.rule_id Nilai detail.additionalEventData.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.additionalEventData.configRuleName security_result.rule_name Nilai detail.additionalEventData.configRuleName dari log mentah dipetakan ke kolom security_result.rule_name.
detail.additionalEventData.managedRuleIdentifier additional.fields Nilai detail.additionalEventData.managedRuleIdentifier dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "managedRuleIdentifier".
detail.additionalEventData.notificationJobType additional.fields Nilai detail.additionalEventData.notificationJobType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "notificationJobType".
detail.awsAccountId principal.asset_id Nilai detail.awsAccountId dari log mentah diawali dengan "AWS Account id: " dan dipetakan ke kolom principal.asset_id.
detail.awsRegion principal.location.name Nilai detail.awsRegion dari log mentah dipetakan ke kolom principal.location.name.
detail.configRuleArn security_result.rule_id Nilai detail.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.configRuleName security_result.rule_name Nilai detail.configRuleName dari log mentah dipetakan ke kolom security_result.rule_name.
detail.configurationItem.awsAccountId principal.user.userid Nilai detail.configurationItem.awsAccountId dari log mentah dipetakan ke kolom principal.user.userid.
detail.configurationItem.awsRegion target.location.country_or_region Nilai detail.configurationItem.awsRegion dari log mentah dipetakan ke kolom target.location.country_or_region.
detail.configurationItem.configuration.complianceType security_result.summary Nilai detail.configurationItem.configuration.complianceType dari log mentah dipetakan ke kolom security_result.summary.
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels Nilai detail.configurationItem.configuration.targetResourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configuration targetResourceId".
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels Nilai detail.configurationItem.configuration.targetResourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configuration targetResourceType".
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time Nilai detail.configurationItem.configurationItemCaptureTime dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom _target.asset.attribute.creation_time.
detail.configurationItem.configurationItemStatus target.resource.attribute.labels Nilai detail.configurationItem.configurationItemStatus dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configurationItemStatus".
detail.configurationItem.configurationStateId target.resource.attribute.labels Nilai detail.configurationItem.configurationStateId dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configurationStateId".
detail.configurationItem.resourceId target.resource.id Nilai detail.configurationItem.resourceId dari log mentah dipetakan ke kolom target.resource.id.
detail.configurationItem.resourceType target.resource.resource_subtype Nilai detail.configurationItem.resourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id Nilai detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.eventCategory security_result.category_details Nilai detail.eventCategory dari log mentah dipetakan ke kolom security_result.category_details.
detail.eventID metadata.product_log_id Nilai detail.eventID dari log mentah dipetakan ke kolom metadata.product_log_id.
detail.eventName additional.fields Nilai detail.eventName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Nama Peristiwa".
detail.eventSource target.application Nilai detail.eventSource dari log mentah dipetakan ke kolom target.application.
detail.eventType additional.fields Nilai detail.eventType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Jenis Peristiwa".
detail.eventVersion metadata.product_version Nilai detail.eventVersion dari log mentah dipetakan ke kolom metadata.product_version.
detail.managementEvent additional.fields Nilai detail.managementEvent dari log mentah dikonversi menjadi string dan ditambahkan sebagai key-value pair ke additional.fields dengan kunci "detail managementEvent".
detail.messageType target.resource.attribute.labels Nilai detail.messageType dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Jenis Pesan".
detail.newEvaluationResult.complianceType security_result.summary Nilai detail.newEvaluationResult.complianceType dari log mentah dipetakan ke kolom security_result.summary.
detail.newEvaluationResult.configRuleInvokedTime additional.fields Nilai detail.newEvaluationResult.configRuleInvokedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_configRuleInvokedTime".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_configRuleName".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resourceId".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resourceType".
detail.newEvaluationResult.resultRecordedTime additional.fields Nilai detail.newEvaluationResult.resultRecordedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resultRecordedTime".
detail.oldEvaluationResult.configRuleInvokedTime additional.fields Nilai detail.oldEvaluationResult.configRuleInvokedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_configRuleInvokedTime".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_configRuleName".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resourceId".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resourceType".
detail.oldEvaluationResult.resultRecordedTime additional.fields Nilai detail.oldEvaluationResult.resultRecordedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resultRecordedTime".
detail.readOnly additional.fields Nilai detail.readOnly dari log mentah dikonversi menjadi string dan ditambahkan sebagai key-value pair ke additional.fields dengan kunci "detail readOnly".
detail.recipientAccountId target.resource.attribute.labels Nilai detail.recipientAccountId dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Recipient Account Id".
detail.recordVersion metadata.product_version Nilai detail.recordVersion dari log mentah dipetakan ke kolom metadata.product_version.
detail.requestID target.resource.attribute.labels Nilai detail.requestID dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Detail Request ID".
detail.resourceType target.resource.resource_subtype Nilai detail.resourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
detail.s3Bucket about.resource.name Nilai detail.s3Bucket dari log mentah dipetakan ke kolom about.resource.name.
detail.s3ObjectKey target.resource.attribute.labels Nilai detail.s3ObjectKey dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "s3ObjectKey".
detail.userAgent network.http.user_agent Nilai detail.userAgent dari log mentah dipetakan ke kolom network.http.user_agent.
detail.userIdentity.accessKeyId target.user.userid Nilai detail.userIdentity.accessKeyId dari log mentah dipetakan ke kolom target.user.userid.
detail.userIdentity.accountId metadata.product_deployment_id Nilai detail.userIdentity.accountId dari log mentah dipetakan ke kolom metadata.product_deployment_id.
detail.userIdentity.arn target.user.userid Nilai detail.userIdentity.arn dari log mentah dipetakan ke kolom target.user.userid.
detail.userIdentity.principalId principal.user.product_object_id Nilai detail.userIdentity.principalId dari log mentah dipetakan ke kolom principal.user.product_object_id.
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels Nilai detail.userIdentity.sessionContext.attributes.mfaAuthenticated dari log mentah ditambahkan sebagai pasangan nilai kunci ke principal.user.attribute.labels dengan kunci "mfaAuthenticated".
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name Nilai detail.userIdentity.sessionContext.sessionIssuer.userName dari log mentah dipetakan ke kolom target.user.user_display_name.
detail.userIdentity.type principal.resource.type Nilai detail.userIdentity.type dari log mentah dipetakan ke kolom principal.resource.type.
detail-type metadata.product_event_type Nilai detail-type dari log mentah dipetakan ke kolom metadata.product_event_type.
device principal.asset.product_object_id Nilai device dari log mentah dipetakan ke kolom principal.asset.product_object_id.
digestPublicKeyFingerprint target.file.sha1 Nilai digestPublicKeyFingerprint dari log mentah dipetakan ke kolom target.file.sha1.
digestS3Bucket principal.resource.name Nilai digestS3Bucket dari log mentah dipetakan ke kolom principal.resource.name.
digestS3Object principal.asset.asset_id Nilai digestS3Object dari log mentah diawali dengan "S3 Object: " dan dipetakan ke kolom principal.asset.asset_id.
digestSignatureAlgorithm network.tls.cipher Nilai digestSignatureAlgorithm dari log mentah dipetakan ke kolom network.tls.cipher.
digestStartTime metadata.event_timestamp Nilai digestStartTime dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
dimensions.VolumeId additional.fields Nilai dimensions.VolumeId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "VolumeId".
duration additional.fields Nilai duration dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "duration".
errorCode security_result.rule_name Nilai errorCode dari log mentah dipetakan ke kolom security_result.rule_name.
errorMessage security_result.summary Nilai errorMessage dari log mentah dipetakan ke kolom security_result.summary.
executionId principal.process.pid Nilai executionId dari log mentah dipetakan ke kolom principal.process.pid.
host principal.hostname, principal.ip Nilai host dari log mentah, dengan tanda hubung diganti dengan titik, diuraikan sebagai alamat IP dan dipetakan ke kolom principal.ip jika berhasil. Jika tidak, kolom ini akan dipetakan ke kolom principal.hostname.
http_verb network.http.method Nilai http_verb dari log mentah dikonversi ke huruf besar dan dipetakan ke kolom network.http.method.
kubernetes.container_hash additional.fields Nilai kubernetes.container_hash dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "container_hash".
kubernetes.container_image additional.fields Nilai kubernetes.container_image dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "container_image".
kubernetes.container_name additional.fields Nilai kubernetes.container_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "container_name".
kubernetes.docker_id principal.asset_id Nilai kubernetes.docker_id dari log mentah diawali dengan "id: " dan dipetakan ke kolom principal.asset_id.
kubernetes.host principal.hostname, principal.ip Nilai kubernetes.host dari log mentah, dengan tanda hubung diganti dengan titik, diuraikan sebagai alamat IP dan dipetakan ke kolom principal.ip jika berhasil. Jika tidak, kolom ini akan dipetakan ke kolom principal.hostname.
kubernetes.namespace principal.namespace Nilai kubernetes.namespace dari log mentah dipetakan ke kolom principal.namespace.
kubernetes.namespace_name principal.namespace Nilai kubernetes.namespace_name dari log mentah dipetakan ke kolom principal.namespace.
kubernetes.pod_id principal.asset.asset_id Nilai kubernetes.pod_id dari log mentah diawali dengan "pod_id: " dan dipetakan ke kolom principal.asset.asset_id.
kubernetes.pod_name additional.fields Nilai kubernetes.pod_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "nama pod".
lambdaArn principal.hostname Nilai lambdaArn dari log mentah dipetakan ke kolom principal.hostname.
level security_result.severity Nilai level dari log mentah menentukan nilai security_result.severity. Jika level adalah "Info", nilainya adalah "INFORMATIONAL". Jika level adalah "Error", nilainya adalah "ERROR". Jika level adalah "Peringatan", nilainya adalah "SEDANG".
log metadata.description Nilai log dari log mentah dipetakan ke kolom metadata.description jika descr kosong.
logFiles about Untuk setiap elemen dalam array logFiles dari log mentah, objek about dibuat dengan file.full_path ditetapkan ke s3Object, asset.hostname ditetapkan ke s3Bucket, dan file.sha256 ditetapkan ke hashValue.
log_processed.cause security_result.summary Nilai log_processed.cause dari log mentah dipetakan ke kolom security_result.summary.
log_processed.ids intermediary.hostname Untuk setiap elemen dalam array log_processed.ids dari log mentah, objek intermediary dibuat dengan hostname ditetapkan ke nilai elemen.
log_processed.level security_result.severity Nilai log_processed.level dari log mentah dipetakan ke kolom security_result.severity.
log_processed.msg metadata.description Nilai log_processed.msg dari log mentah dipetakan ke kolom metadata.description.
log_processed.ts metadata.event_timestamp Nilai log_processed.ts dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
log_type metadata.log_type Nilai log_type dari log mentah dipetakan ke kolom metadata.log_type. Ini adalah kolom kustom yang ditambahkan untuk konteks.
logevent.message security_result.description Nilai logevent.message dari log mentah dipetakan ke kolom security_result.description. Data ini juga diuraikan menggunakan grok untuk mengekstrak kolom tambahan.
logGroup security_result.about.resource.name Nilai logGroup dari log mentah dipetakan ke kolom security_result.about.resource.name.
logStream security_result.about.resource.attribute.labels Nilai logStream dari log mentah ditambahkan sebagai pasangan nilai kunci ke security_result.about.resource.attribute.labels dengan kunci "logStream".
memory_used additional.fields Nilai memory_used dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "memory_used".
metric_name additional.fields Nilai metric_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "metric_name".
metric_stream_name additional.fields Nilai metric_stream_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "metric_stream_name".
namespace principal.namespace Nilai namespace dari log mentah dipetakan ke kolom principal.namespace.
owner principal.user.userid Nilai owner dari log mentah dipetakan ke kolom principal.user.userid.
parameters additional.fields Nilai parameters dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Parameters".
Path principal.process.file.full_path Nilai Path dari log mentah dipetakan ke kolom principal.process.file.full_path.
pid principal.process.pid Nilai pid dari log mentah dipetakan ke kolom principal.process.pid.
PolicyName security_result.rule_name Nilai PolicyName dari log mentah dipetakan ke kolom security_result.rule_name.
prin_host principal.hostname Nilai prin_host dari log mentah dipetakan ke kolom principal.hostname.
principal_hostname principal.hostname Nilai principal_hostname dari log mentah dipetakan ke kolom principal.hostname.
process principal.application Nilai process dari log mentah dipetakan ke kolom principal.application.
rawData additional.fields Nilai rawData dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Raw Data".
Recommendation security_result.detection_fields Nilai Recommendation dari log mentah ditambahkan sebagai pasangan nilai kunci ke security_result.detection_fields dengan kunci "Recommendation".
referral_url network.http.referral_url Nilai referral_url dari log mentah dipetakan ke kolom network.http.referral_url.
region principal.location.name Nilai region dari log mentah dipetakan ke kolom principal.location.name.
resp_code network.http.response_code Nilai resp_code dari log mentah dikonversi menjadi bilangan bulat dan dipetakan ke kolom network.http.response_code.
resource_url network.http.referral_url Nilai resource_url dari log mentah dipetakan ke kolom network.http.referral_url.
ResourceType target.resource.resource_subtype Nilai ResourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
response_body additional.fields Nilai response_body dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Isi respons".
Role target.resource.product_object_id Nilai Role dari log mentah dipetakan ke kolom target.resource.product_object_id.
s3_bucket_path target.file.full_path Nilai s3_bucket_path dari log mentah dipetakan ke kolom target.file.full_path.
sec_result.category security_result.category Nilai sec_result.category berasal dari logika parser. Jika descr berisi "authentication is required", nilainya adalah "AUTH_VIOLATION".
sec_result.description security_result.description Nilai sec_result.description berasal dari logika parser. Nilai ini ditetapkan ke nilai cloudwatchLog jika ada.
sec_result.severity security_result.severity Nilai sec_result.severity berasal dari logika parser. Nilai ini ditetapkan berdasarkan nilai severity atau level.
sec_result.summary security_result.summary Nilai sec_result.summary berasal dari logika parser. Nilai ini ditetapkan ke nilai log_processed.cause atau errorMessage jika ada.
security_result security_result Objek security_result dibuat dari berbagai kolom dan logika parser.
serverId additional.fields Nilai serverId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "server_id".
severity security_result.severity Nilai severity dari log mentah, yang dikonversi ke huruf besar dan dinormalisasi, dipetakan ke kolom security_result.severity.
Source principal.hostname Nilai Source dari log mentah dipetakan ke kolom principal.hostname.
source principal.hostname Nilai source dari log mentah dipetakan ke kolom principal.hostname.
SourceIP principal.ip Nilai SourceIP dari log mentah dipetakan ke kolom principal.ip.
src_port principal.port Jika src_port adalah "80", nilai tersebut akan dikonversi menjadi bilangan bulat dan dipetakan ke kolom principal.port, dan network.application_protocol ditetapkan ke "HTTP".
stream additional.fields Nilai stream dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "stream".
subscriptionFilters security_result.about.resource.attribute.labels Untuk setiap elemen dalam array subscriptionFilters dari log mentah, pasangan nilai kunci ditambahkan ke security_result.about.resource.attribute.labels dengan kunci "subscriptionFilter" dan nilai dari array.
support_contact target.resource.attribute.labels Nilai support_contact dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Kontak Dukungan".
t_ip target.ip Nilai t_ip dari log mentah, setelah menghapus tanda hubung, diuraikan sebagai alamat IP dan dipetakan ke kolom target.ip jika berhasil.
time metadata.event_timestamp Nilai time dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
timestamp metadata.event_timestamp Nilai timestamp dari log mentah dikonversi menjadi stempel waktu menggunakan berbagai format dan dipetakan ke kolom metadata.event_timestamp.
tls network.tls.version Nilai tls dari log mentah dipetakan ke kolom network.tls.version.
transferDetails.serverId additional.fields Nilai transferDetails.serverId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "server_id".
transferDetails.sessionId network.session_id Nilai transferDetails.sessionId dari log mentah dipetakan ke kolom network.session_id.
transferDetails.username principal.user.user_display_name Nilai transferDetails.username dari log mentah dipetakan ke kolom principal.user.user_display_name.
ts metadata.event_timestamp Nilai ts dari log mentah, yang digabungkan dengan zona waktu jika tersedia, dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
type metadata.product_event_type Nilai type dari log mentah dipetakan ke kolom metadata.product_event_type.
unit additional.fields Nilai unit dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "unit".
url target.url Nilai url dari log mentah dipetakan ke kolom target.url.
url_back_to_product metadata.url_back_to_product Nilai url_back_to_product dari log mentah dipetakan ke kolom metadata.url_back_to_product.
User principal.user.userid Nilai User dari log mentah dipetakan ke kolom principal.user.userid.
user target.user.userid, metadata.event_type, extensions.auth.mechanism Jika user ada, metadata.event_type ditetapkan ke "USER_LOGIN", extensions.auth.mechanism ditetapkan ke "NETWORK", dan nilai user dipetakan ke target.user.userid.
value.count additional.fields Nilai value.count dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "count".
value.max additional.fields Nilai value.max dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "max".
value.min additional.fields Nilai value.min dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "min".
value.sum additional.fields Nilai value.sum dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "sum".
workflowId additional.fields Nilai workflowId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "workflowId".

Perubahan

2024-02-12

  • Peningkatan:
  • Stempel waktu yang dipetakan ke UNIX_MS.

2023-09-02

  • Peningkatan:
  • Menambahkan "kv block" untuk mengurai log format nilai kunci.
  • Memetakan "SourceIP" ke "principal.ip".
  • Memetakan "prin_host" ke "principal.hostname".
  • Memetakan "Pengguna" ke "principal.user.userid".
  • Memetakan "Cipher" ke "network.tls.client.supported_ciphers".
  • Memetakan "executionId" ke "principal.process.pid".
  • Memetakan "transferDetails.sessionId" ke "network.session_id".
  • Memetakan "transferDetails.username" ke "principal.user.user_display_name".
  • Memetakan "transferDetails.serverId", "workflowId", "details.input.initialFileLocation.etag", "details.input.initialFileLocation.backingStore", "details.input.initialFileLocation.bucket", "details.input.initialFileLocation.key",
  • "Mode", "Kex" ke "additional.fields".
  • Memetakan "BytesIn" ke "network.received_bytes".
  • Memetakan "Role" ke "target.resource.product_object_id".

2023-08-18

  • Peningkatan:
  • Menambahkan pola Grok untuk mengurai log mentah yang tidak diuraikan.

2023-07-07

  • Peningkatan:
  • Menambahkan dukungan untuk log JSON terkait 'logEvents'.

2022-12-17

  • Memetakan "CloudType" ke "target.resource.attribute.cloud.environment".
  • Memetakan "AlertId" ke "metadata.product_log_id".
  • Memetakan "ResourceType" ke "target.resource.resource_subtype".
  • Memetakan "ResourceRegion" ke "target.location.country_or_region".
  • Memetakan "Recommendation" ke "security_result.detection_fields".
  • Memetakan "PolicyName","detail.additionalEventData.configRuleName" ke "security_result.rule_name".
  • Memetakan "detail-type" ke "metadata.product_event_type".
  • Memetakan "region","detail.awsRegion" ke "principal.location.name".
  • Memetakan "detail.eventSource" ke "target.application".
  • Memetakan "detail.requestID" ke "target.resource.attribute.labels".
  • Memetakan "detail.userAgent" ke "network.http.user_agent".
  • Memetakan "detail.eventVersion" ke "metadata.product_version".
  • Memetakan "detail.userIdentity.accountId" ke "metadata.product_deployment_id".
  • Memetakan "detail.userIdentity.accessKeyId" ke "target.user.userid".
  • Memetakan "detail.userIdentity.type" ke "principal.resource.type".
  • Memetakan "detail.userIdentity.principalId" ke "principal.user.product_object_id".
  • Memetakan "detail.user.arn" ke "target.user.userid".
  • Memetakan "detail.user.sessionContext.sessionIssuer.userName" ke "target.user.user_display_name".
  • Memetakan "detail.user.mfaAuthenticated" ke "principal.user.attribute.labels".
  • Memetakan "detail.recipientAccountId" ke "target.resource.attribute.labels".
  • Memetakan "detail.managementEvent", "detail.eventType", "detail.readOnly", "detail.eventName", "detail.additionalEventData.notificationJobType", "detail.additionalEventData.managedRuleIdentifier", "duration", "billed_duration", "memory_used" ke "additional.fields".
  • Memetakan "detail.eventCategory" ke "security_result.category_details".
  • Memetakan "detail.eventID" ke "metadata.product_log_id".
  • Memetakan "detail.additionalEventData.configRuleArn" ke "security_result.rule_id".
  • Memetakan "level" ke "security_result.severity".
  • Memetakan "src_port" ke "principal.port".
  • Memetakan "request_id" ke "target.resource.attribute.labels".
  • Memetakan "url" ke "target.url".

2022-09-03

  • Peningkatan:
  • Menambahkan grok untuk mengurai log yang baru ditransfer.
  • Memetakan "package" ke "event.idm.read_only_udm.principal.process.command_line".
  • Memetakan "session_id" ke "event.idm.read_only_udm.network.session_id".
  • Memetakan "network_dir" ke "event.idm.read_only_udm.network.direction".
  • Memetakan "port" ke "event.idm.read_only_udm.target.port".
  • Memetakan ulang "digestPublicKeyFingerprint" dari "additional.fields" ke "event.idm.read_only_udm.target.file.sha1".
  • Menambahkan level log lain seperti "AUDIT", "TRACE", "DEBUG", "NOTICE", "ERROR" untuk pemetaan tingkat keparahan.
  • Menduplikasi nilai di "target.ip" ke "principal.ip" untuk menetapkan event_type sebagai "STATUS_UPDATE" sehingga mengurangi persentase generik.
  • Menambahkan kondisi untuk "event_type" "USER_UNCATEGORIZED", "NETWORK_HTTP", "NETWORK_CONNECTION", "STATUS_UPADTE" untuk mengurangi persentase generik.

2022-08-11

  • Perbaikan Bug - Memetakan ulang "digestS3Bucket" ke "principal.resource.name".
  • Memetakan ulang "kubernetes.pod_name" ke "additional.fields".

2022-05-27

  • Peningkatan:
  • Mengubah nilai yang disimpan di metadata.product_name menjadi 'AWS CloudWatch' dan metadata.vendor_name menjadi 'AMAZON'.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.