AWS CloudWatch ログを収集する
このドキュメントでは、Amazon S3 または Amazon Kinesis Data Firehose を使用して AWS CloudWatch ログを Google Security Operations に取り込む方法について説明します。AWS CloudWatch は、モニタリングとオブザーバビリティのサービスで、ログ、指標、イベントの形式で運用データを収集します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- AWS への特権アクセス
AWS S3 を使用して CloudWatch ログのエクスポートを構成する
このエクスポート プロセスは、最新の CloudWatch ログを S3 に取り込むために定期的に実行する必要があります。
Amazon S3 バケットを作成する
CloudWatch ログ専用に作成されたバケットを使用することをおすすめします。
- Amazon S3 コンソールを開きます。
- 必要に応じて、[リージョン] を変更できます。
- ナビゲーション バーで、CloudWatch Logs が存在する [リージョン] を選択します。
- [バケットを作成] をクリックします。
- バケット名: バケットにわかりやすい名前を入力します。
- リージョン: CloudWatch Logs データが存在するリージョンを選択します。
- [作成] をクリックします。
Amazon S3 と CloudWatch Logs へのフルアクセス権限を持つ IAM ユーザーを作成する
- IAM コンソールを開きます。
- [ユーザー] > [ユーザーを作成] をクリックします。
- [ユーザー名] フィールドに名前を入力します(例:
CWExport
)。 - [プログラムによるアクセス] と [AWS マネジメント コンソールへのアクセス] の両方を選択します。
- [自動生成されたパスワード] または [カスタム パスワード] を選択します。
- [Next: Permissions] をクリックします。
- [既存のポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーと CloudWatchLogsFullAccess ポリシーを検索して選択し、ユーザーに割り当てます。
- [Next: Tags] をクリックします。
- [次へ: 確認] をクリックします。
- [ユーザーを作成] をクリックします。
Amazon S3 バケットの権限を構成する
- Amazon S3 コンソールで、以前に作成したバケットを選択します。
- [権限> バケット ポリシー] をクリックします。
[バケット ポリシー エディタ] で、次のポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::cw-exported-logs", "Principal": { "Service": "logs.us-east-1.amazonaws.com" } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/random-string/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } }, "Principal": { "Service": "logs.us-east-1.amazonaws.com" } } ] }
次の
json
変数を変更して更新します。cw-exported-logs
を S3 バケットの名前に変更します。random-string
をランダムに生成された文字列に変更します。- プリンシパルの正しいリージョン エンドポイントを指定してください。
[保存] をクリックします。
CloudWatch エクスポートを構成する
- 前に作成した IAM ユーザーとしてログインします。
- CloudWatch コンソールを開きます。
- ナビゲーション メニューで [ロググループ] を選択します。
- 既存の ロググループの名前を選択するか、新しいロググループを作成します。
- [アクション> Amazon S3 にデータをエクスポート] を選択します。
- [Export data to Amazon S3] 画面で、[Define data export] を見つけます。
[開始] と [終了] を使用して、エクスポートするデータの期間を設定します。
S3 バケットを選択: Amazon S3 バケットに関連付けられているアカウントを選択します。
S3 バケット名: Amazon S3 バケットを選択します。
S3 バケットの接頭辞: バケットポリシーで指定したランダムに生成された文字列を入力します。
[エクスポート] を選択して、ログデータを Amazon S3 にエクスポートします。
Amazon S3 にエクスポートしたログデータのステータスを表示するには、[操作] > [Amazon S3 へのすべてのエクスポートを表示] を選択します。
AWS CloudWatch のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
AWS CloudWatch Logs
)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [Log type] として [AWS CloudWatch] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- S3 URI: バケット URI
s3://your-log-bucket-name/
your-log-bucket-name
は、バケットの実際の名前に置き換えます。
Source deletion options: 必要に応じて削除オプションを選択します。
最大ファイル経過時間: デフォルトは 180 日です。
アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
AWS Data Firehose を使用して Cloudwatch ログのエクスポートを構成する
このエクスポート プロセスは、初期設定後に定期的に行う必要はありません。
AWS CloudWatch Logs を取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
AWS CloudWatch Logs
)。 - [ソースタイプ] として [Amazon Data Firehose] を選択します。
- [Log type] として [AWS CloudWatch] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- 分割区切り文字: 省略可能な
\n
。 - アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- 分割区切り文字: 省略可能な
- [次へ] をクリックします。
- フィードの設定を確認し、[送信] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- この値は再び表示できないため、秘密鍵をコピーして保存します。
- [詳細] タブに移動します。
- [エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。
- [完了] をクリックします。
Amazon Data Firehose フィード用の API キーを作成する
- Google Cloud コンソールの認証情報ページに移動します。
- [認証情報を作成] をクリックして [API キー] を選択します。
- API キーのアクセスを Google SecOps API に制限します。
エンドポイント URL を指定する
Amazon Data Firehose で HTTPS エンドポイントとアクセスキーを指定する手順は次のとおりです。
フィード エンドポイント URL に API キーを追加し、次の形式でこの URL を HTTP エンドポイント URL として指定します。
ENDPOINT_URL?key=API_KEY
次のように置き換えます。
ENDPOINT_URL
: フィード エンドポイントの URL。API_KEY
: Google SecOps に対する認証に使用する API キー。
アクセスキーには、Amazon Data Firehose フィードの作成時に取得した秘密鍵を指定します。
Amazon Kinesis Data Firehose を Google SecOps に構成します {:#configure-kinesis-secops}。
- AWS コンソールで、[Kinesis] > [Data Firehose] > [配信ストリームを作成] に移動します。
- 次の構成の詳細を入力します。
- ソース: [直接 PUT またはその他のソース] を選択します。
- 宛先: [HTTP エンドポイント] を選択します。
- HTTP エンドポイント URL: Google SecOps の フィード HTTPS エンドポイント URL を API キーとともに指定します。
- HTTP メソッド: [POST] を選択します。
- [アクセスキー] に次の詳細情報を入力します。
- 秘密鍵ヘッダー: 値
<YOUR_SECRET_KEY>
の<HEADER_NAME_FOR_SECRET>
- バッファリングのヒント: バッファサイズ = 1 MiB、バッファ間隔 = 60 秒に設定します。
- 圧縮: [無効] を選択します。
- S3 バックアップ: [無効] を選択します。
- 再試行とロギングの設定はデフォルトのままにします。
- 秘密鍵ヘッダー: 値
- [配信ストリームを作成] をクリックします。
IAM 権限を構成してロググループをサブスクライブする
- AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] > [JSON] に移動します。
次のポリシー JSON を貼り付けます。
<region>
と<account-id>
は、AWS リージョンとアカウント ID に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops" } ] }
- ポリシーに
CWLtoFirehoseWrite
という名前を付けて、[ポリシーを作成] をクリックします。 - [IAM]> [ロール]> [ロールの作成] に移動します。
- [カスタム信頼ポリシー] を選択して、次のように貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logs.<your-region>.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
- ポリシーに
ポリシー
CWLtoFirehoseWrite
をロールにアタッチします。ロールに「
CWLtoFirehoseRole
」という名前を付けて、[ロールを作成] をクリックします。[CloudWatch] > [Logs] > [Log groups] に移動します。
ターゲット ロググループを選択します。
[サブスクリプション フィルタ] タブを開き、[作成] をクリックします。
[Amazon Kinesis Data Firehose サブスクリプション フィルタを作成] を選択します。
次の構成情報を提供してください。
- 宛先: 配信ストリーム
cwlogs-to-secops
を選択します。 - 権限を付与: ロール
CWLtoFirehoseRole
を選択します。 - フィルタ名: 「
all-events
」と入力します。 - すべてのイベントを送信するには、[フィルタ パターン] を空白のままにします。
- 宛先: 配信ストリーム
[ストリーミングを開始] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
account |
principal.user.userid |
未加工ログの account の値は、principal.user.userid フィールドにマッピングされます。 |
account_id |
principal.user.userid |
未加工ログの account_id の値は、principal.user.userid フィールドにマッピングされます。 |
AlertId |
metadata.product_log_id |
未加工ログの AlertId の値は、metadata.product_log_id フィールドにマッピングされます。 |
arrivalTimestamp |
metadata.event_timestamp |
未加工ログの arrivalTimestamp の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
attemptsMade |
additional.fields |
未加工ログの attemptsMade の値は文字列に変換され、キー「Attempts Made」で Key-Value ペアとして additional.fields に追加されます。 |
awsAccountId |
principal.asset_id |
未加工ログの awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。 |
billed_duration |
additional.fields |
未加工ログの billed_duration の値は、キー「billed_duration」で Key-Value ペアとして additional.fields に追加されます。 |
BytesIn |
network.received_bytes |
未加工ログの BytesIn の値は符号なし整数に変換され、network.received_bytes フィールドにマッピングされます。 |
cipher |
network.tls.cipher |
未加工ログの cipher の値は、network.tls.cipher フィールドにマッピングされます。 |
Ciphers |
network.tls.client.supported_ciphers |
未加工ログの Ciphers の値がカンマで分割され、各値が network.tls.client.supported_ciphers 配列に追加されます。 |
cloudwatchLog |
security_result.description |
未加工ログの cloudwatchLog の値は、security_result.description フィールドにマッピングされます。 |
CloudAccountId |
metadata.product_deployment_id |
未加工ログの CloudAccountId の値は、metadata.product_deployment_id フィールドにマッピングされます。 |
CloudType |
target.resource.attribute.cloud.environment |
未加工ログの CloudType の値によって、target.resource.attribute.cloud.environment の値が決まります。CloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」です。CloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」です。CloudType が「azure」の場合、値は「MICROSOFT_AZURE」です。 |
Context.Execution.Id |
target.resource.attribute.labels |
未加工ログの Context.Execution.Id の値は、キー「Context Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
Context.Execution.Name |
target.resource.attribute.labels |
未加工ログの Context.Execution.Name の値は、キー「Context Name」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
Context.Execution.RoleArn |
target.resource.product_object_id |
未加工ログの Context.Execution.RoleArn の値は、target.resource.product_object_id フィールドにマッピングされます。 |
descr |
metadata.description |
未加工ログの descr の値は、余分な空白を削除した後、「-」でない限り metadata.description フィールドにマッピングされます。descr が空の場合、代わりに log の値が使用されます。 |
destination.name |
target.location.country_or_region |
未加工ログの destination.name の値は、target.location.country_or_region フィールドにマッピングされます。 |
destination.properties.prefix |
target.resource.attribute.labels |
未加工ログの destination.properties.prefix の値は、キー「宛先プロパティの接頭辞」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.additionalEventData.configRuleArn |
security_result.rule_id |
未加工ログの detail.additionalEventData.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.additionalEventData.configRuleName |
security_result.rule_name |
未加工ログの detail.additionalEventData.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。 |
detail.additionalEventData.managedRuleIdentifier |
additional.fields |
未加工ログの detail.additionalEventData.managedRuleIdentifier の値は、キー「managedRuleIdentifier」で Key-Value ペアとして additional.fields に追加されます。 |
detail.additionalEventData.notificationJobType |
additional.fields |
未加工ログの detail.additionalEventData.notificationJobType の値は、キー「notificationJobType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.awsAccountId |
principal.asset_id |
未加工ログの detail.awsAccountId の値に「AWS アカウント ID:」が追加され、principal.asset_id フィールドにマッピングされます。 |
detail.awsRegion |
principal.location.name |
未加工ログの detail.awsRegion の値は、principal.location.name フィールドにマッピングされます。 |
detail.configRuleArn |
security_result.rule_id |
未加工ログの detail.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.configRuleName |
security_result.rule_name |
未加工ログの detail.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。 |
detail.configurationItem.awsAccountId |
principal.user.userid |
未加工ログの detail.configurationItem.awsAccountId の値は、principal.user.userid フィールドにマッピングされます。 |
detail.configurationItem.awsRegion |
target.location.country_or_region |
未加工ログの detail.configurationItem.awsRegion の値は、target.location.country_or_region フィールドにマッピングされます。 |
detail.configurationItem.configuration.complianceType |
security_result.summary |
未加工ログの detail.configurationItem.configuration.complianceType の値は、security_result.summary フィールドにマッピングされます。 |
detail.configurationItem.configuration.targetResourceId |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configuration.targetResourceId の値は、キー「configurationItem configuration targetResourceId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configuration.targetResourceType |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configuration.targetResourceType の値は、キー「configurationItem configuration targetResourceType」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configurationItemCaptureTime |
_target.asset.attribute.creation_time |
未加工ログの detail.configurationItem.configurationItemCaptureTime の値はタイムスタンプに変換され、_target.asset.attribute.creation_time フィールドにマッピングされます。 |
detail.configurationItem.configurationItemStatus |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configurationItemStatus の値は、キー「configurationItem configurationItemStatus」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configurationStateId |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configurationStateId の値は文字列に変換され、キー「configurationItem configurationStateId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.resourceId |
target.resource.id |
未加工ログの detail.configurationItem.resourceId の値は、target.resource.id フィールドにマッピングされます。 |
detail.configurationItem.resourceType |
target.resource.resource_subtype |
未加工ログの detail.configurationItem.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn |
security_result.rule_id |
未加工ログの detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.eventCategory |
security_result.category_details |
未加工ログの detail.eventCategory の値は、security_result.category_details フィールドにマッピングされます。 |
detail.eventID |
metadata.product_log_id |
未加工ログの detail.eventID の値は、metadata.product_log_id フィールドにマッピングされます。 |
detail.eventName |
additional.fields |
未加工ログの detail.eventName の値は、キー「Event Name」で Key-Value ペアとして additional.fields に追加されます。 |
detail.eventSource |
target.application |
未加工ログの detail.eventSource の値は、target.application フィールドにマッピングされます。 |
detail.eventType |
additional.fields |
未加工ログの detail.eventType の値は、キー「Event Type」で Key-Value ペアとして additional.fields に追加されます。 |
detail.eventVersion |
metadata.product_version |
未加工ログの detail.eventVersion の値は、metadata.product_version フィールドにマッピングされます。 |
detail.managementEvent |
additional.fields |
未加工ログの detail.managementEvent の値は文字列に変換され、キー「detail managementEvent」で Key-Value ペアとして additional.fields に追加されます。 |
detail.messageType |
target.resource.attribute.labels |
未加工ログの detail.messageType の値は、キー「Message Type」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.newEvaluationResult.complianceType |
security_result.summary |
未加工ログの detail.newEvaluationResult.complianceType の値は、security_result.summary フィールドにマッピングされます。 |
detail.newEvaluationResult.configRuleInvokedTime |
additional.fields |
未加工ログの detail.newEvaluationResult.configRuleInvokedTime の値は、キー「newEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「newEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「newEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「newEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.resultRecordedTime |
additional.fields |
未加工ログの detail.newEvaluationResult.resultRecordedTime の値は、キー「newEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.configRuleInvokedTime |
additional.fields |
未加工ログの detail.oldEvaluationResult.configRuleInvokedTime の値は、キー「oldEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「oldEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「oldEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「oldEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.resultRecordedTime |
additional.fields |
未加工ログの detail.oldEvaluationResult.resultRecordedTime の値は、キー「oldEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.readOnly |
additional.fields |
未加工ログの detail.readOnly の値は文字列に変換され、キー「detail readOnly」で Key-Value ペアとして additional.fields に追加されます。 |
detail.recipientAccountId |
target.resource.attribute.labels |
未加工ログの detail.recipientAccountId の値は、キー「Recipient Account Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.recordVersion |
metadata.product_version |
未加工ログの detail.recordVersion の値は、metadata.product_version フィールドにマッピングされます。 |
detail.requestID |
target.resource.attribute.labels |
未加工ログの detail.requestID の値は、キー「Detail Request ID」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.resourceType |
target.resource.resource_subtype |
未加工ログの detail.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
detail.s3Bucket |
about.resource.name |
未加工ログの detail.s3Bucket の値は、about.resource.name フィールドにマッピングされます。 |
detail.s3ObjectKey |
target.resource.attribute.labels |
未加工ログの detail.s3ObjectKey の値は、キー「s3ObjectKey」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.userAgent |
network.http.user_agent |
未加工ログの detail.userAgent の値は、network.http.user_agent フィールドにマッピングされます。 |
detail.userIdentity.accessKeyId |
target.user.userid |
未加工ログの detail.userIdentity.accessKeyId の値は、target.user.userid フィールドにマッピングされます。 |
detail.userIdentity.accountId |
metadata.product_deployment_id |
未加工ログの detail.userIdentity.accountId の値は、metadata.product_deployment_id フィールドにマッピングされます。 |
detail.userIdentity.arn |
target.user.userid |
未加工ログの detail.userIdentity.arn の値は、target.user.userid フィールドにマッピングされます。 |
detail.userIdentity.principalId |
principal.user.product_object_id |
未加工ログの detail.userIdentity.principalId の値は、principal.user.product_object_id フィールドにマッピングされます。 |
detail.userIdentity.sessionContext.attributes.mfaAuthenticated |
principal.user.attribute.labels |
未加工ログの detail.userIdentity.sessionContext.attributes.mfaAuthenticated の値は、キー「mfaAuthenticated」で Key-Value ペアとして principal.user.attribute.labels に追加されます。 |
detail.userIdentity.sessionContext.sessionIssuer.userName |
target.user.user_display_name |
未加工ログの detail.userIdentity.sessionContext.sessionIssuer.userName の値は、target.user.user_display_name フィールドにマッピングされます。 |
detail.userIdentity.type |
principal.resource.type |
未加工ログの detail.userIdentity.type の値は、principal.resource.type フィールドにマッピングされます。 |
detail-type |
metadata.product_event_type |
未加工ログの detail-type の値は、metadata.product_event_type フィールドにマッピングされます。 |
device |
principal.asset.product_object_id |
未加工ログの device の値は、principal.asset.product_object_id フィールドにマッピングされます。 |
digestPublicKeyFingerprint |
target.file.sha1 |
未加工ログの digestPublicKeyFingerprint の値は、target.file.sha1 フィールドにマッピングされます。 |
digestS3Bucket |
principal.resource.name |
未加工ログの digestS3Bucket の値は、principal.resource.name フィールドにマッピングされます。 |
digestS3Object |
principal.asset.asset_id |
未加工ログの digestS3Object の値に「S3 Object: 」が追加され、principal.asset.asset_id フィールドにマッピングされます。 |
digestSignatureAlgorithm |
network.tls.cipher |
未加工ログの digestSignatureAlgorithm の値は、network.tls.cipher フィールドにマッピングされます。 |
digestStartTime |
metadata.event_timestamp |
未加工ログの digestStartTime の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
dimensions.VolumeId |
additional.fields |
未加工ログの dimensions.VolumeId の値は、キー「VolumeId」で Key-Value ペアとして additional.fields に追加されます。 |
duration |
additional.fields |
未加工ログの duration の値は、キー「duration」で Key-Value ペアとして additional.fields に追加されます。 |
errorCode |
security_result.rule_name |
未加工ログの errorCode の値は、security_result.rule_name フィールドにマッピングされます。 |
errorMessage |
security_result.summary |
未加工ログの errorMessage の値は、security_result.summary フィールドにマッピングされます。 |
executionId |
principal.process.pid |
未加工ログの executionId の値は、principal.process.pid フィールドにマッピングされます。 |
host |
principal.hostname 、principal.ip |
未加工ログの host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。 |
http_verb |
network.http.method |
未加工ログの http_verb の値は大文字に変換され、network.http.method フィールドにマッピングされます。 |
kubernetes.container_hash |
additional.fields |
未加工ログの kubernetes.container_hash の値は、キー「container_hash」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.container_image |
additional.fields |
未加工ログの kubernetes.container_image の値は、キー「container_image」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.container_name |
additional.fields |
未加工ログの kubernetes.container_name の値は、キー「container_name」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.docker_id |
principal.asset_id |
未加工ログの kubernetes.docker_id の値に「id:」が追加され、principal.asset_id フィールドにマッピングされます。 |
kubernetes.host |
principal.hostname 、principal.ip |
未加工ログの kubernetes.host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。 |
kubernetes.namespace |
principal.namespace |
未加工ログの kubernetes.namespace の値は、principal.namespace フィールドにマッピングされます。 |
kubernetes.namespace_name |
principal.namespace |
未加工ログの kubernetes.namespace_name の値は、principal.namespace フィールドにマッピングされます。 |
kubernetes.pod_id |
principal.asset.asset_id |
未加工ログの kubernetes.pod_id の値に「pod_id:」が追加され、principal.asset.asset_id フィールドにマッピングされます。 |
kubernetes.pod_name |
additional.fields |
未加工ログの kubernetes.pod_name の値は、キー「pod name」で Key-Value ペアとして additional.fields に追加されます。 |
lambdaArn |
principal.hostname |
未加工ログの lambdaArn の値は、principal.hostname フィールドにマッピングされます。 |
level |
security_result.severity |
未加工ログの level の値によって、security_result.severity の値が決まります。level が「Info」の場合、値は「INFORMATIONAL」になります。level が「Error」の場合、値は「ERROR」になります。level が「Warning」の場合、値は「MEDIUM」です。 |
log |
metadata.description |
descr が空の場合、未加工ログの log の値は metadata.description フィールドにマッピングされます。 |
logFiles |
about |
未加工ログの logFiles 配列の各要素に対して、file.full_path が s3Object に、asset.hostname が s3Bucket に、file.sha256 が hashValue に設定された about オブジェクトが作成されます。 |
log_processed.cause |
security_result.summary |
未加工ログの log_processed.cause の値は、security_result.summary フィールドにマッピングされます。 |
log_processed.ids |
intermediary.hostname |
未加工ログの log_processed.ids 配列の各要素に対して、hostname が要素の値に設定された intermediary オブジェクトが作成されます。 |
log_processed.level |
security_result.severity |
未加工ログの log_processed.level の値は、security_result.severity フィールドにマッピングされます。 |
log_processed.msg |
metadata.description |
未加工ログの log_processed.msg の値は、metadata.description フィールドにマッピングされます。 |
log_processed.ts |
metadata.event_timestamp |
未加工ログの log_processed.ts の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
log_type |
metadata.log_type |
未加工ログの log_type の値は、metadata.log_type フィールドにマッピングされます。これは、コンテキストを追加するために追加されたカスタム フィールドです。 |
logevent.message |
security_result.description |
未加工ログの logevent.message の値は、security_result.description フィールドにマッピングされます。また、grok を使用して解析し、追加のフィールドを抽出します。 |
logGroup |
security_result.about.resource.name |
未加工ログの logGroup の値は、security_result.about.resource.name フィールドにマッピングされます。 |
logStream |
security_result.about.resource.attribute.labels |
未加工ログの logStream の値は、キー「logStream」で Key-Value ペアとして security_result.about.resource.attribute.labels に追加されます。 |
memory_used |
additional.fields |
未加工ログの memory_used の値は、キー「memory_used」で Key-Value ペアとして additional.fields に追加されます。 |
metric_name |
additional.fields |
未加工ログの metric_name の値は、キー「metric_name」で Key-Value ペアとして additional.fields に追加されます。 |
metric_stream_name |
additional.fields |
未加工ログの metric_stream_name の値は、キー「metric_stream_name」で Key-Value ペアとして additional.fields に追加されます。 |
namespace |
principal.namespace |
未加工ログの namespace の値は、principal.namespace フィールドにマッピングされます。 |
owner |
principal.user.userid |
未加工ログの owner の値は、principal.user.userid フィールドにマッピングされます。 |
parameters |
additional.fields |
未加工ログの parameters の値は、キー「Parameters」で Key-Value ペアとして additional.fields に追加されます。 |
Path |
principal.process.file.full_path |
未加工ログの Path の値は、principal.process.file.full_path フィールドにマッピングされます。 |
pid |
principal.process.pid |
未加工ログの pid の値は、principal.process.pid フィールドにマッピングされます。 |
PolicyName |
security_result.rule_name |
未加工ログの PolicyName の値は、security_result.rule_name フィールドにマッピングされます。 |
prin_host |
principal.hostname |
未加工ログの prin_host の値は、principal.hostname フィールドにマッピングされます。 |
principal_hostname |
principal.hostname |
未加工ログの principal_hostname の値は、principal.hostname フィールドにマッピングされます。 |
process |
principal.application |
未加工ログの process の値は、principal.application フィールドにマッピングされます。 |
rawData |
additional.fields |
未加工ログの rawData の値は、キー「Raw Data」で Key-Value ペアとして additional.fields に追加されます。 |
Recommendation |
security_result.detection_fields |
未加工ログの Recommendation の値は、キー「Recommendation」で Key-Value ペアとして security_result.detection_fields に追加されます。 |
referral_url |
network.http.referral_url |
未加工ログの referral_url の値は、network.http.referral_url フィールドにマッピングされます。 |
region |
principal.location.name |
未加工ログの region の値は、principal.location.name フィールドにマッピングされます。 |
resp_code |
network.http.response_code |
未加工ログの resp_code の値は整数に変換され、network.http.response_code フィールドにマッピングされます。 |
resource_url |
network.http.referral_url |
未加工ログの resource_url の値は、network.http.referral_url フィールドにマッピングされます。 |
ResourceType |
target.resource.resource_subtype |
未加工ログの ResourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
response_body |
additional.fields |
未加工ログの response_body の値は、キー「Response body」で Key-Value ペアとして additional.fields に追加されます。 |
Role |
target.resource.product_object_id |
未加工ログの Role の値は、target.resource.product_object_id フィールドにマッピングされます。 |
s3_bucket_path |
target.file.full_path |
未加工ログの s3_bucket_path の値は、target.file.full_path フィールドにマッピングされます。 |
sec_result.category |
security_result.category |
sec_result.category の値は、パーサーのロジックから導出されます。descr に「authentication is required」が含まれている場合、値は「AUTH_VIOLATION」です。 |
sec_result.description |
security_result.description |
sec_result.description の値は、パーサーのロジックから導出されます。存在する場合は cloudwatchLog の値に設定されます。 |
sec_result.severity |
security_result.severity |
sec_result.severity の値は、パーサーのロジックから導出されます。severity または level の値に基づいて設定されます。 |
sec_result.summary |
security_result.summary |
sec_result.summary の値は、パーサーのロジックから導出されます。存在する場合は、log_processed.cause または errorMessage の値に設定されます。 |
security_result |
security_result |
security_result オブジェクトは、さまざまなフィールドとパーサー ロジックから構築されます。 |
serverId |
additional.fields |
未加工ログの serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。 |
severity |
security_result.severity |
未加工ログの severity の値は、大文字に変換されて正規化され、security_result.severity フィールドにマッピングされます。 |
Source |
principal.hostname |
未加工ログの Source の値は、principal.hostname フィールドにマッピングされます。 |
source |
principal.hostname |
未加工ログの source の値は、principal.hostname フィールドにマッピングされます。 |
SourceIP |
principal.ip |
未加工ログの SourceIP の値は、principal.ip フィールドにマッピングされます。 |
src_port |
principal.port |
src_port が「80」の場合、整数に変換されて principal.port フィールドにマッピングされ、network.application_protocol が「HTTP」に設定されます。 |
stream |
additional.fields |
未加工ログの stream の値は、キー「stream」で Key-Value ペアとして additional.fields に追加されます。 |
subscriptionFilters |
security_result.about.resource.attribute.labels |
未加工ログの subscriptionFilters 配列の各要素について、キーが「subscriptionFilter」で値が配列の値の Key-Value ペアが security_result.about.resource.attribute.labels に追加されます。 |
support_contact |
target.resource.attribute.labels |
未加工ログの support_contact の値は、キー「サポート連絡先」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
t_ip |
target.ip |
未加工ログの t_ip の値からハイフンが削除され、IP アドレスとして解析されます。成功した場合は、target.ip フィールドにマッピングされます。 |
time |
metadata.event_timestamp |
未加工ログの time の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
timestamp |
metadata.event_timestamp |
未加工ログの timestamp の値は、さまざまな形式を使用してタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
tls |
network.tls.version |
未加工ログの tls の値は、network.tls.version フィールドにマッピングされます。 |
transferDetails.serverId |
additional.fields |
未加工ログの transferDetails.serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。 |
transferDetails.sessionId |
network.session_id |
未加工ログの transferDetails.sessionId の値は、network.session_id フィールドにマッピングされます。 |
transferDetails.username |
principal.user.user_display_name |
未加工ログの transferDetails.username の値は、principal.user.user_display_name フィールドにマッピングされます。 |
ts |
metadata.event_timestamp |
未加工ログの ts の値は、タイムゾーン(使用可能な場合)と組み合わされてタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
type |
metadata.product_event_type |
未加工ログの type の値は、metadata.product_event_type フィールドにマッピングされます。 |
unit |
additional.fields |
未加工ログの unit の値は、キー「unit」で Key-Value ペアとして additional.fields に追加されます。 |
url |
target.url |
未加工ログの url の値は、target.url フィールドにマッピングされます。 |
url_back_to_product |
metadata.url_back_to_product |
未加工ログの url_back_to_product の値は、metadata.url_back_to_product フィールドにマッピングされます。 |
User |
principal.user.userid |
未加工ログの User の値は、principal.user.userid フィールドにマッピングされます。 |
user |
target.user.userid 、metadata.event_type 、extensions.auth.mechanism |
user が存在する場合、metadata.event_type は「USER_LOGIN」に設定され、extensions.auth.mechanism は「NETWORK」に設定され、user の値は target.user.userid にマッピングされます。 |
value.count |
additional.fields |
未加工ログの value.count の値は文字列に変換され、キー「count」で Key-Value ペアとして additional.fields に追加されます。 |
value.max |
additional.fields |
未加工ログの value.max の値は文字列に変換され、キー「max」で Key-Value ペアとして additional.fields に追加されます。 |
value.min |
additional.fields |
未加工ログの value.min の値は文字列に変換され、キー「min」で Key-Value ペアとして additional.fields に追加されます。 |
value.sum |
additional.fields |
未加工ログの value.sum の値は文字列に変換され、キー「sum」で Key-Value ペアとして additional.fields に追加されます。 |
workflowId |
additional.fields |
未加工ログの workflowId の値は、キー「workflowId」で Key-Value ペアとして additional.fields に追加されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。