AWS CloudWatch ログを収集する

以下でサポートされています。

このドキュメントでは、Amazon S3 または Amazon Kinesis Data Firehose を使用して AWS CloudWatch ログを Google Security Operations に取り込む方法について説明します。AWS CloudWatch は、モニタリングとオブザーバビリティのサービスで、ログ、指標、イベントの形式で運用データを収集します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • AWS への特権アクセス

AWS S3 を使用して CloudWatch ログのエクスポートを構成する

このエクスポート プロセスは、最新の CloudWatch ログを S3 に取り込むために定期的に実行する必要があります。

Amazon S3 バケットを作成する

CloudWatch ログ専用に作成されたバケットを使用することをおすすめします。

  1. Amazon S3 コンソールを開きます。
  2. 必要に応じて、[リージョン] を変更できます。
    • ナビゲーション バーで、CloudWatch Logs が存在する [リージョン] を選択します。
  3. [バケットを作成] をクリックします。
    • バケット名: バケットにわかりやすい名前を入力します。
    • リージョン: CloudWatch Logs データが存在するリージョンを選択します。
    • [作成] をクリックします。

Amazon S3 と CloudWatch Logs へのフルアクセス権限を持つ IAM ユーザーを作成する

  1. IAM コンソールを開きます。
  2. [ユーザー] > [ユーザーを作成] をクリックします。
  3. [ユーザー名] フィールドに名前を入力します(例: CWExport)。
  4. [プログラムによるアクセス] と [AWS マネジメント コンソールへのアクセス] の両方を選択します。
  5. [自動生成されたパスワード] または [カスタム パスワード] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [既存のポリシーを直接アタッチする] を選択します。
  8. AmazonS3FullAccess ポリシーと CloudWatchLogsFullAccess ポリシーを検索して選択し、ユーザーに割り当てます。
  9. [Next: Tags] をクリックします。
  10. [次へ: 確認] をクリックします。
  11. [ユーザーを作成] をクリックします。

Amazon S3 バケットの権限を構成する

  1. Amazon S3 コンソールで、以前に作成したバケットを選択します。
  2. [権限> バケット ポリシー] をクリックします。
  3. [バケット ポリシー エディタ] で、次のポリシーを追加します。

    {             
      "Version": "2012-10-17",
      "Statement": [
          {
            "Action": "s3:GetBucketAcl",
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::cw-exported-logs",
            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
          },
          {
            "Action": "s3:PutObject" ,
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
            "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
    
          }
    
      ]
    
    }
    
  4. 次の json 変数を変更して更新します。

    • cw-exported-logs を S3 バケットの名前に変更します。
    • random-string をランダムに生成された文字列に変更します。
    • プリンシパルの正しいリージョン エンドポイントを指定してください。
  5. [保存] をクリックします。

CloudWatch エクスポートを構成する

  1. 前に作成した IAM ユーザーとしてログインします。
  2. CloudWatch コンソールを開きます。
  3. ナビゲーション メニューで [ロググループ] を選択します。
  4. 既存の ロググループの名前を選択するか、新しいロググループを作成します。
  5. [アクション> Amazon S3 にデータをエクスポート] を選択します。
  6. [Export data to Amazon S3] 画面で、[Define data export] を見つけます。
  7. [開始] と [終了] を使用して、エクスポートするデータの期間を設定します。

  8. S3 バケットを選択: Amazon S3 バケットに関連付けられているアカウントを選択します。

  9. S3 バケット名: Amazon S3 バケットを選択します。

  10. S3 バケットの接頭辞: バケットポリシーで指定したランダムに生成された文字列を入力します。

  11. [エクスポート] を選択して、ログデータを Amazon S3 にエクスポートします。

  12. Amazon S3 にエクスポートしたログデータのステータスを表示するには、[操作] > [Amazon S3 へのすべてのエクスポートを表示] を選択します。

AWS CloudWatch のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: AWS CloudWatch Logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [Log type] として [AWS CloudWatch] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。

    • S3 URI: バケット URI
    • s3://your-log-bucket-name/
      • your-log-bucket-name は、バケットの実際の名前に置き換えます。
    • Source deletion options: 必要に応じて削除オプションを選択します。

    • 最大ファイル経過時間: デフォルトは 180 日です。

    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。

    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  8. [次へ] をクリックします。

  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

AWS Data Firehose を使用して Cloudwatch ログのエクスポートを構成する

このエクスポート プロセスは、初期設定後に定期的に行う必要はありません。

AWS CloudWatch Logs を取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: AWS CloudWatch Logs)。
  4. [ソースタイプ] として [Amazon Data Firehose] を選択します。
  5. [Log type] として [AWS CloudWatch] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • 分割区切り文字: 省略可能な \n
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. フィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. この値は再び表示できないため、秘密鍵をコピーして保存します。
  12. [詳細] タブに移動します。
  13. [エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。
  14. [完了] をクリックします。

Amazon Data Firehose フィード用の API キーを作成する

  1. Google Cloud コンソールの認証情報ページに移動します。
  2. [認証情報を作成] をクリックして [API キー] を選択します。
  3. API キーのアクセスGoogle SecOps API に制限します。

エンドポイント URL を指定する

Amazon Data Firehose で HTTPS エンドポイントとアクセスキーを指定する手順は次のとおりです。

  1. フィード エンドポイント URL に API キーを追加し、次の形式でこの URL を HTTP エンドポイント URL として指定します。

    ENDPOINT_URL?key=API_KEY
    
    • 次のように置き換えます。

      • ENDPOINT_URL: フィード エンドポイントの URL。
      • API_KEY: Google SecOps に対する認証に使用する API キー。

アクセスキーには、Amazon Data Firehose フィードの作成時に取得した秘密鍵を指定します。

Amazon Kinesis Data Firehose を Google SecOps に構成します {:#configure-kinesis-secops}。

  1. AWS コンソールで、[Kinesis] > [Data Firehose] > [配信ストリームを作成] に移動します。
  2. 次の構成の詳細を入力します。
    • ソース: [直接 PUT またはその他のソース] を選択します。
    • 宛先: [HTTP エンドポイント] を選択します。
    • HTTP エンドポイント URL: Google SecOps の フィード HTTPS エンドポイント URL を API キーとともに指定します。
    • HTTP メソッド: [POST] を選択します。
  3. [アクセスキー] に次の詳細情報を入力します。
    • 秘密鍵ヘッダー: 値 <YOUR_SECRET_KEY><HEADER_NAME_FOR_SECRET>
    • バッファリングのヒント: バッファサイズ = 1 MiBバッファ間隔 = 60 秒に設定します。
    • 圧縮: [無効] を選択します。
    • S3 バックアップ: [無効] を選択します。
    • 再試行ロギングの設定はデフォルトのままにします。
  4. [配信ストリームを作成] をクリックします。

IAM 権限を構成してロググループをサブスクライブする

  1. AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] > [JSON] に移動します。
  2. 次のポリシー JSON を貼り付けます。<region><account-id> は、AWS リージョンとアカウント ID に置き換えます。

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "firehose:PutRecord",
            "firehose:PutRecordBatch"
          ],
          "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
        }
      ]
    }
    
    1. ポリシーに CWLtoFirehoseWrite という名前を付けて、[ポリシーを作成] をクリックします。
    2. [IAM]> [ロール]> [ロールの作成] に移動します。
    3. [カスタム信頼ポリシー] を選択して、次のように貼り付けます。
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "logs.<your-region>.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    
  3. ポリシー CWLtoFirehoseWrite をロールにアタッチします。

  4. ロールに「CWLtoFirehoseRole」という名前を付けて、[ロールを作成] をクリックします。

  5. [CloudWatch] > [Logs] > [Log groups] に移動します。

  6. ターゲット ロググループを選択します。

  7. [サブスクリプション フィルタ] タブを開き、[作成] をクリックします。

  8. [Amazon Kinesis Data Firehose サブスクリプション フィルタを作成] を選択します。

  9. 次の構成情報を提供してください。

    • 宛先: 配信ストリーム cwlogs-to-secops を選択します。
    • 権限を付与: ロール CWLtoFirehoseRole を選択します。
    • フィルタ名: 「all-events」と入力します。
    • すべてのイベントを送信するには、[フィルタ パターン] を空白のままにします。
  10. [ストリーミングを開始] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
account principal.user.userid 未加工ログの account の値は、principal.user.userid フィールドにマッピングされます。
account_id principal.user.userid 未加工ログの account_id の値は、principal.user.userid フィールドにマッピングされます。
AlertId metadata.product_log_id 未加工ログの AlertId の値は、metadata.product_log_id フィールドにマッピングされます。
arrivalTimestamp metadata.event_timestamp 未加工ログの arrivalTimestamp の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
attemptsMade additional.fields 未加工ログの attemptsMade の値は文字列に変換され、キー「Attempts Made」で Key-Value ペアとして additional.fields に追加されます。
awsAccountId principal.asset_id 未加工ログの awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。
billed_duration additional.fields 未加工ログの billed_duration の値は、キー「billed_duration」で Key-Value ペアとして additional.fields に追加されます。
BytesIn network.received_bytes 未加工ログの BytesIn の値は符号なし整数に変換され、network.received_bytes フィールドにマッピングされます。
cipher network.tls.cipher 未加工ログの cipher の値は、network.tls.cipher フィールドにマッピングされます。
Ciphers network.tls.client.supported_ciphers 未加工ログの Ciphers の値がカンマで分割され、各値が network.tls.client.supported_ciphers 配列に追加されます。
cloudwatchLog security_result.description 未加工ログの cloudwatchLog の値は、security_result.description フィールドにマッピングされます。
CloudAccountId metadata.product_deployment_id 未加工ログの CloudAccountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
CloudType target.resource.attribute.cloud.environment 未加工ログの CloudType の値によって、target.resource.attribute.cloud.environment の値が決まります。CloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」です。CloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」です。CloudType が「azure」の場合、値は「MICROSOFT_AZURE」です。
Context.Execution.Id target.resource.attribute.labels 未加工ログの Context.Execution.Id の値は、キー「Context Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.Name target.resource.attribute.labels 未加工ログの Context.Execution.Name の値は、キー「Context Name」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.RoleArn target.resource.product_object_id 未加工ログの Context.Execution.RoleArn の値は、target.resource.product_object_id フィールドにマッピングされます。
descr metadata.description 未加工ログの descr の値は、余分な空白を削除した後、「-」でない限り metadata.description フィールドにマッピングされます。descr が空の場合、代わりに log の値が使用されます。
destination.name target.location.country_or_region 未加工ログの destination.name の値は、target.location.country_or_region フィールドにマッピングされます。
destination.properties.prefix target.resource.attribute.labels 未加工ログの destination.properties.prefix の値は、キー「宛先プロパティの接頭辞」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.additionalEventData.configRuleArn security_result.rule_id 未加工ログの detail.additionalEventData.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.additionalEventData.configRuleName security_result.rule_name 未加工ログの detail.additionalEventData.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.additionalEventData.managedRuleIdentifier additional.fields 未加工ログの detail.additionalEventData.managedRuleIdentifier の値は、キー「managedRuleIdentifier」で Key-Value ペアとして additional.fields に追加されます。
detail.additionalEventData.notificationJobType additional.fields 未加工ログの detail.additionalEventData.notificationJobType の値は、キー「notificationJobType」で Key-Value ペアとして additional.fields に追加されます。
detail.awsAccountId principal.asset_id 未加工ログの detail.awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。
detail.awsRegion principal.location.name 未加工ログの detail.awsRegion の値は、principal.location.name フィールドにマッピングされます。
detail.configRuleArn security_result.rule_id 未加工ログの detail.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.configRuleName security_result.rule_name 未加工ログの detail.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.configurationItem.awsAccountId principal.user.userid 未加工ログの detail.configurationItem.awsAccountId の値は、principal.user.userid フィールドにマッピングされます。
detail.configurationItem.awsRegion target.location.country_or_region 未加工ログの detail.configurationItem.awsRegion の値は、target.location.country_or_region フィールドにマッピングされます。
detail.configurationItem.configuration.complianceType security_result.summary 未加工ログの detail.configurationItem.configuration.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceId の値は、キー「configurationItem configuration targetResourceId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceType の値は、キー「configurationItem configuration targetResourceType」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time 未加工ログの detail.configurationItem.configurationItemCaptureTime の値はタイムスタンプに変換され、_target.asset.attribute.creation_time フィールドにマッピングされます。
detail.configurationItem.configurationItemStatus target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationItemStatus の値は、キー「configurationItem configurationItemStatus」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationStateId target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationStateId の値は文字列に変換され、キー「configurationItem configurationStateId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.resourceId target.resource.id 未加工ログの detail.configurationItem.resourceId の値は、target.resource.id フィールドにマッピングされます。
detail.configurationItem.resourceType target.resource.resource_subtype 未加工ログの detail.configurationItem.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id 未加工ログの detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.eventCategory security_result.category_details 未加工ログの detail.eventCategory の値は、security_result.category_details フィールドにマッピングされます。
detail.eventID metadata.product_log_id 未加工ログの detail.eventID の値は、metadata.product_log_id フィールドにマッピングされます。
detail.eventName additional.fields 未加工ログの detail.eventName の値は、キー「Event Name」で Key-Value ペアとして additional.fields に追加されます。
detail.eventSource target.application 未加工ログの detail.eventSource の値は、target.application フィールドにマッピングされます。
detail.eventType additional.fields 未加工ログの detail.eventType の値は、キー「Event Type」で Key-Value ペアとして additional.fields に追加されます。
detail.eventVersion metadata.product_version 未加工ログの detail.eventVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.managementEvent additional.fields 未加工ログの detail.managementEvent の値は文字列に変換され、キー「detail managementEvent」で Key-Value ペアとして additional.fields に追加されます。
detail.messageType target.resource.attribute.labels 未加工ログの detail.messageType の値は、キー「Message Type」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.newEvaluationResult.complianceType security_result.summary 未加工ログの detail.newEvaluationResult.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.newEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.newEvaluationResult.configRuleInvokedTime の値は、キー「newEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「newEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「newEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「newEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.newEvaluationResult.resultRecordedTime の値は、キー「newEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.oldEvaluationResult.configRuleInvokedTime の値は、キー「oldEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「oldEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「oldEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「oldEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.oldEvaluationResult.resultRecordedTime の値は、キー「oldEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.readOnly additional.fields 未加工ログの detail.readOnly の値は文字列に変換され、キー「detail readOnly」で Key-Value ペアとして additional.fields に追加されます。
detail.recipientAccountId target.resource.attribute.labels 未加工ログの detail.recipientAccountId の値は、キー「Recipient Account Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.recordVersion metadata.product_version 未加工ログの detail.recordVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.requestID target.resource.attribute.labels 未加工ログの detail.requestID の値は、キー「Detail Request ID」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.resourceType target.resource.resource_subtype 未加工ログの detail.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.s3Bucket about.resource.name 未加工ログの detail.s3Bucket の値は、about.resource.name フィールドにマッピングされます。
detail.s3ObjectKey target.resource.attribute.labels 未加工ログの detail.s3ObjectKey の値は、キー「s3ObjectKey」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.userAgent network.http.user_agent 未加工ログの detail.userAgent の値は、network.http.user_agent フィールドにマッピングされます。
detail.userIdentity.accessKeyId target.user.userid 未加工ログの detail.userIdentity.accessKeyId の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.accountId metadata.product_deployment_id 未加工ログの detail.userIdentity.accountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
detail.userIdentity.arn target.user.userid 未加工ログの detail.userIdentity.arn の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.principalId principal.user.product_object_id 未加工ログの detail.userIdentity.principalId の値は、principal.user.product_object_id フィールドにマッピングされます。
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels 未加工ログの detail.userIdentity.sessionContext.attributes.mfaAuthenticated の値は、キー「mfaAuthenticated」で Key-Value ペアとして principal.user.attribute.labels に追加されます。
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name 未加工ログの detail.userIdentity.sessionContext.sessionIssuer.userName の値は、target.user.user_display_name フィールドにマッピングされます。
detail.userIdentity.type principal.resource.type 未加工ログの detail.userIdentity.type の値は、principal.resource.type フィールドにマッピングされます。
detail-type metadata.product_event_type 未加工ログの detail-type の値は、metadata.product_event_type フィールドにマッピングされます。
device principal.asset.product_object_id 未加工ログの device の値は、principal.asset.product_object_id フィールドにマッピングされます。
digestPublicKeyFingerprint target.file.sha1 未加工ログの digestPublicKeyFingerprint の値は、target.file.sha1 フィールドにマッピングされます。
digestS3Bucket principal.resource.name 未加工ログの digestS3Bucket の値は、principal.resource.name フィールドにマッピングされます。
digestS3Object principal.asset.asset_id 未加工ログの digestS3Object の値に「S3 Object: 」が追加され、principal.asset.asset_id フィールドにマッピングされます。
digestSignatureAlgorithm network.tls.cipher 未加工ログの digestSignatureAlgorithm の値は、network.tls.cipher フィールドにマッピングされます。
digestStartTime metadata.event_timestamp 未加工ログの digestStartTime の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
dimensions.VolumeId additional.fields 未加工ログの dimensions.VolumeId の値は、キー「VolumeId」で Key-Value ペアとして additional.fields に追加されます。
duration additional.fields 未加工ログの duration の値は、キー「duration」で Key-Value ペアとして additional.fields に追加されます。
errorCode security_result.rule_name 未加工ログの errorCode の値は、security_result.rule_name フィールドにマッピングされます。
errorMessage security_result.summary 未加工ログの errorMessage の値は、security_result.summary フィールドにマッピングされます。
executionId principal.process.pid 未加工ログの executionId の値は、principal.process.pid フィールドにマッピングされます。
host principal.hostnameprincipal.ip 未加工ログの host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
http_verb network.http.method 未加工ログの http_verb の値は大文字に変換され、network.http.method フィールドにマッピングされます。
kubernetes.container_hash additional.fields 未加工ログの kubernetes.container_hash の値は、キー「container_hash」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_image additional.fields 未加工ログの kubernetes.container_image の値は、キー「container_image」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_name additional.fields 未加工ログの kubernetes.container_name の値は、キー「container_name」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.docker_id principal.asset_id 未加工ログの kubernetes.docker_id の値に「id:」が追加され、principal.asset_id フィールドにマッピングされます。
kubernetes.host principal.hostnameprincipal.ip 未加工ログの kubernetes.host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
kubernetes.namespace principal.namespace 未加工ログの kubernetes.namespace の値は、principal.namespace フィールドにマッピングされます。
kubernetes.namespace_name principal.namespace 未加工ログの kubernetes.namespace_name の値は、principal.namespace フィールドにマッピングされます。
kubernetes.pod_id principal.asset.asset_id 未加工ログの kubernetes.pod_id の値に「pod_id:」が追加され、principal.asset.asset_id フィールドにマッピングされます。
kubernetes.pod_name additional.fields 未加工ログの kubernetes.pod_name の値は、キー「pod name」で Key-Value ペアとして additional.fields に追加されます。
lambdaArn principal.hostname 未加工ログの lambdaArn の値は、principal.hostname フィールドにマッピングされます。
level security_result.severity 未加工ログの level の値によって、security_result.severity の値が決まります。level が「Info」の場合、値は「INFORMATIONAL」になります。level が「Error」の場合、値は「ERROR」になります。level が「Warning」の場合、値は「MEDIUM」です。
log metadata.description descr が空の場合、未加工ログの log の値は metadata.description フィールドにマッピングされます。
logFiles about 未加工ログの logFiles 配列の各要素に対して、file.full_paths3Object に、asset.hostnames3Bucket に、file.sha256hashValue に設定された about オブジェクトが作成されます。
log_processed.cause security_result.summary 未加工ログの log_processed.cause の値は、security_result.summary フィールドにマッピングされます。
log_processed.ids intermediary.hostname 未加工ログの log_processed.ids 配列の各要素に対して、hostname が要素の値に設定された intermediary オブジェクトが作成されます。
log_processed.level security_result.severity 未加工ログの log_processed.level の値は、security_result.severity フィールドにマッピングされます。
log_processed.msg metadata.description 未加工ログの log_processed.msg の値は、metadata.description フィールドにマッピングされます。
log_processed.ts metadata.event_timestamp 未加工ログの log_processed.ts の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
log_type metadata.log_type 未加工ログの log_type の値は、metadata.log_type フィールドにマッピングされます。これは、コンテキストを追加するために追加されたカスタム フィールドです。
logevent.message security_result.description 未加工ログの logevent.message の値は、security_result.description フィールドにマッピングされます。また、grok を使用して解析し、追加のフィールドを抽出します。
logGroup security_result.about.resource.name 未加工ログの logGroup の値は、security_result.about.resource.name フィールドにマッピングされます。
logStream security_result.about.resource.attribute.labels 未加工ログの logStream の値は、キー「logStream」で Key-Value ペアとして security_result.about.resource.attribute.labels に追加されます。
memory_used additional.fields 未加工ログの memory_used の値は、キー「memory_used」で Key-Value ペアとして additional.fields に追加されます。
metric_name additional.fields 未加工ログの metric_name の値は、キー「metric_name」で Key-Value ペアとして additional.fields に追加されます。
metric_stream_name additional.fields 未加工ログの metric_stream_name の値は、キー「metric_stream_name」で Key-Value ペアとして additional.fields に追加されます。
namespace principal.namespace 未加工ログの namespace の値は、principal.namespace フィールドにマッピングされます。
owner principal.user.userid 未加工ログの owner の値は、principal.user.userid フィールドにマッピングされます。
parameters additional.fields 未加工ログの parameters の値は、キー「Parameters」で Key-Value ペアとして additional.fields に追加されます。
Path principal.process.file.full_path 未加工ログの Path の値は、principal.process.file.full_path フィールドにマッピングされます。
pid principal.process.pid 未加工ログの pid の値は、principal.process.pid フィールドにマッピングされます。
PolicyName security_result.rule_name 未加工ログの PolicyName の値は、security_result.rule_name フィールドにマッピングされます。
prin_host principal.hostname 未加工ログの prin_host の値は、principal.hostname フィールドにマッピングされます。
principal_hostname principal.hostname 未加工ログの principal_hostname の値は、principal.hostname フィールドにマッピングされます。
process principal.application 未加工ログの process の値は、principal.application フィールドにマッピングされます。
rawData additional.fields 未加工ログの rawData の値は、キー「Raw Data」で Key-Value ペアとして additional.fields に追加されます。
Recommendation security_result.detection_fields 未加工ログの Recommendation の値は、キー「Recommendation」で Key-Value ペアとして security_result.detection_fields に追加されます。
referral_url network.http.referral_url 未加工ログの referral_url の値は、network.http.referral_url フィールドにマッピングされます。
region principal.location.name 未加工ログの region の値は、principal.location.name フィールドにマッピングされます。
resp_code network.http.response_code 未加工ログの resp_code の値は整数に変換され、network.http.response_code フィールドにマッピングされます。
resource_url network.http.referral_url 未加工ログの resource_url の値は、network.http.referral_url フィールドにマッピングされます。
ResourceType target.resource.resource_subtype 未加工ログの ResourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
response_body additional.fields 未加工ログの response_body の値は、キー「Response body」で Key-Value ペアとして additional.fields に追加されます。
Role target.resource.product_object_id 未加工ログの Role の値は、target.resource.product_object_id フィールドにマッピングされます。
s3_bucket_path target.file.full_path 未加工ログの s3_bucket_path の値は、target.file.full_path フィールドにマッピングされます。
sec_result.category security_result.category sec_result.category の値は、パーサーのロジックから導出されます。descr に「authentication is required」が含まれている場合、値は「AUTH_VIOLATION」です。
sec_result.description security_result.description sec_result.description の値は、パーサーのロジックから導出されます。存在する場合は cloudwatchLog の値に設定されます。
sec_result.severity security_result.severity sec_result.severity の値は、パーサーのロジックから導出されます。severity または level の値に基づいて設定されます。
sec_result.summary security_result.summary sec_result.summary の値は、パーサーのロジックから導出されます。存在する場合は、log_processed.cause または errorMessage の値に設定されます。
security_result security_result security_result オブジェクトは、さまざまなフィールドとパーサー ロジックから構築されます。
serverId additional.fields 未加工ログの serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
severity security_result.severity 未加工ログの severity の値は、大文字に変換されて正規化され、security_result.severity フィールドにマッピングされます。
Source principal.hostname 未加工ログの Source の値は、principal.hostname フィールドにマッピングされます。
source principal.hostname 未加工ログの source の値は、principal.hostname フィールドにマッピングされます。
SourceIP principal.ip 未加工ログの SourceIP の値は、principal.ip フィールドにマッピングされます。
src_port principal.port src_port が「80」の場合、整数に変換されて principal.port フィールドにマッピングされ、network.application_protocol が「HTTP」に設定されます。
stream additional.fields 未加工ログの stream の値は、キー「stream」で Key-Value ペアとして additional.fields に追加されます。
subscriptionFilters security_result.about.resource.attribute.labels 未加工ログの subscriptionFilters 配列の各要素について、キーが「subscriptionFilter」で値が配列の値の Key-Value ペアが security_result.about.resource.attribute.labels に追加されます。
support_contact target.resource.attribute.labels 未加工ログの support_contact の値は、キー「サポート連絡先」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
t_ip target.ip 未加工ログの t_ip の値からハイフンが削除され、IP アドレスとして解析されます。成功した場合は、target.ip フィールドにマッピングされます。
time metadata.event_timestamp 未加工ログの time の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
timestamp metadata.event_timestamp 未加工ログの timestamp の値は、さまざまな形式を使用してタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
tls network.tls.version 未加工ログの tls の値は、network.tls.version フィールドにマッピングされます。
transferDetails.serverId additional.fields 未加工ログの transferDetails.serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
transferDetails.sessionId network.session_id 未加工ログの transferDetails.sessionId の値は、network.session_id フィールドにマッピングされます。
transferDetails.username principal.user.user_display_name 未加工ログの transferDetails.username の値は、principal.user.user_display_name フィールドにマッピングされます。
ts metadata.event_timestamp 未加工ログの ts の値は、タイムゾーン(使用可能な場合)と組み合わされてタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
type metadata.product_event_type 未加工ログの type の値は、metadata.product_event_type フィールドにマッピングされます。
unit additional.fields 未加工ログの unit の値は、キー「unit」で Key-Value ペアとして additional.fields に追加されます。
url target.url 未加工ログの url の値は、target.url フィールドにマッピングされます。
url_back_to_product metadata.url_back_to_product 未加工ログの url_back_to_product の値は、metadata.url_back_to_product フィールドにマッピングされます。
User principal.user.userid 未加工ログの User の値は、principal.user.userid フィールドにマッピングされます。
user target.user.useridmetadata.event_typeextensions.auth.mechanism user が存在する場合、metadata.event_type は「USER_LOGIN」に設定され、extensions.auth.mechanism は「NETWORK」に設定され、user の値は target.user.userid にマッピングされます。
value.count additional.fields 未加工ログの value.count の値は文字列に変換され、キー「count」で Key-Value ペアとして additional.fields に追加されます。
value.max additional.fields 未加工ログの value.max の値は文字列に変換され、キー「max」で Key-Value ペアとして additional.fields に追加されます。
value.min additional.fields 未加工ログの value.min の値は文字列に変換され、キー「min」で Key-Value ペアとして additional.fields に追加されます。
value.sum additional.fields 未加工ログの value.sum の値は文字列に変換され、キー「sum」で Key-Value ペアとして additional.fields に追加されます。
workflowId additional.fields 未加工ログの workflowId の値は、キー「workflowId」で Key-Value ペアとして additional.fields に追加されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。