收集 AWS CloudWatch 記錄

支援的國家/地區:

本文說明如何使用 Amazon S3 或 Amazon Kinesis Data Firehose,將 AWS CloudWatch 記錄檔擷取至 Google Security Operations。AWS CloudWatch 是一項監控和可觀測性服務,會以記錄、指標和事件的形式收集作業資料。整合這項資源,即可將這些記錄傳送至 Google SecOps 進行分析和監控。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

使用 AWS S3 設定 CloudWatch 記錄匯出功能

您必須定期執行這項匯出程序,才能將最新的 CloudWatch 記錄檔擷取至 S3。

建立 Amazon S3 儲存貯體

建議您使用專為 CloudWatch 記錄建立的 bucket。

  1. 開啟 Amazon S3 控制台
  2. 如有需要,可以變更「區域」
    • 在導覽列中,選取 CloudWatch Logs 所在的區域
  3. 按一下「建立 Bucket」
    • 值區名稱:輸入值區的名稱,方便您辨識。
    • 區域:選取 CloudWatch Logs 資料所在的區域。
    • 點選「建立」

建立 IAM 使用者,並授予 Amazon S3 和 CloudWatch Logs 的完整存取權

  1. 開啟 IAM 主控台
  2. 依序點選「使用者」>「建立使用者」
  3. 在「使用者名稱」欄位中輸入名稱 (例如 CWExport)。
  4. 同時選取「程式輔助存取」和「AWS 管理主控台存取」
  5. 選取「自動產生密碼」或「自訂密碼」
  6. 點選 [Next: Permissions] (下一步:權限)。
  7. 選擇「直接附加現有政策」
  8. 搜尋並選取「AmazonS3FullAccess」和「CloudWatchLogsFullAccess」政策,指派給使用者。
  9. 按一下「下一步:代碼」
  10. 按一下 [下一步:檢閱]
  11. 按一下「建立使用者」

設定 Amazon S3 值區的權限

  1. Amazon S3 管理中心中,選擇您先前建立的值區。
  2. 依序點選「Permissions」(權限)「Bucket policy」(儲存空間政策)
  3. 在「Bucket Policy Editor」(值區政策編輯器) 中,新增下列政策。

    {             
      "Version": "2012-10-17",
      "Statement": [
          {
            "Action": "s3:GetBucketAcl",
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::cw-exported-logs",
            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
          },
          {
            "Action": "s3:PutObject" ,
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
            "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
    
          }
    
      ]
    
    }
    
  4. 變更及更新下列 json 變數:

    • cw-exported-logs 變更為 S3 值區的名稱。
    • random-string 變更為隨機產生的字元字串。
    • 請務必為「主體」指定正確的「區域端點」
  5. 按一下 [儲存]

設定 CloudWatch 匯出功能

  1. 以先前建立的 IAM 使用者身分登入。
  2. 開啟 CloudWatch 控制台
  3. 在導覽選單中,選取「記錄檔群組」
  4. 選取現有或建立新的記錄群組名稱。
  5. 依序選擇「動作」>「將資料匯出至 Amazon S3」
  6. 在「Export data to Amazon S3」(將資料匯出至 Amazon S3) 畫面中,找到「Define data export」(定義資料匯出)
  7. 使用「從」和「到」設定要匯出資料的時間範圍。

  8. 選擇 S3 值區:選取與 Amazon S3 值區相關聯的帳戶。

  9. S3 bucket name:選取 Amazon S3 bucket。

  10. S3 Bucket prefix:輸入您在儲存空間政策中指定的隨機產生字串。

  11. 選擇「匯出」,將記錄資料匯出至 Amazon S3。

  12. 如要查看匯出至 Amazon S3 的記錄資料狀態,請依序選取「動作」> 查看所有匯出至 Amazon S3 的項目

在 Google SecOps 中設定動態饋給,擷取 AWS CloudWatch 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 AWS CloudWatch Logs)。
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「AWS CloudWatch」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:

    • S3 URI:bucket URI
    • s3://your-log-bucket-name/
      • 請將 your-log-bucket-name 替換為實際值區名稱。
    • 來源刪除選項:根據偏好選取刪除選項。

    • 檔案存在時間上限:預設為 180 天。

    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。

    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  8. 點選「下一步」

  9. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

使用 AWS Data Firehose 設定 CloudWatch 記錄匯出功能

完成初始設定後,您不必定期執行這項匯出程序。

在 Google SecOps 中設定資訊提供,擷取 AWS CloudWatch Logs

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 AWS CloudWatch Logs)。
  4. 選取「Amazon Data Firehose」做為「來源類型」
  5. 選取「AWS CloudWatch」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • 分割分隔符:選用 \n
    • 資產命名空間資產命名空間
    • 擷取標籤:要套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 檢查動態饋給設定,然後按一下「提交」
  10. 按一下「產生密鑰」,產生驗證這個動態饋給的密鑰。
  11. 複製並儲存密鑰,因為您無法再次查看這個值。
  12. 前往「詳細資料」分頁。
  13. 從「端點資訊」欄位複製動態消息端點網址。
  14. 按一下 [完成]

為 Amazon Data Firehose 動態饋給建立 API 金鑰

  1. 前往 Google Cloud 控制台的「憑證」頁面
  2. 依序按一下「建立」憑證和「API 金鑰」
  3. 將 API 金鑰存取權限制為 Google SecOps API

指定端點網址

如要在 Amazon Data Firehose 中指定 HTTPS 端點和存取金鑰,請按照下列步驟操作:

  1. 將 API 金鑰附加至動態消息端點網址,並以以下格式指定這個網址做為 HTTP 端點網址:

    ENDPOINT_URL?key=API_KEY
    
    • 更改下列內容:

      • ENDPOINT_URL:動態消息端點網址。
      • API_KEY:用於向 Google SecOps 進行驗證的 API 金鑰。

存取金鑰:指定建立 Amazon Data Firehose 動態饋給時取得的私密金鑰。

將 Amazon Kinesis Data Firehose 設定為 Google SecOps {:#configure-kinesis-secops}。

  1. AWS 控制台中,依序前往「Kinesis」>「Data Firehose」>「Create delivery stream」
  2. 提供下列設定詳細資料:
    • 來源:選取「直接 PUT 或其他來源」
    • 目的地:選擇「HTTP 端點」
    • HTTP 端點網址:輸入 Google SecOps 提供的「動態饋給 HTTPS 端點網址」和 API 金鑰。
    • HTTP 方法:選取「POST」
  3. 在「存取金鑰」下方,輸入下列詳細資料:
    • 密鑰標頭<HEADER_NAME_FOR_SECRET>,值為 <YOUR_SECRET_KEY>
    • 緩衝區提示:將「緩衝區大小」設為 1 MiB,將「緩衝區間隔」設為 60 秒
    • 壓縮:選取「已停用」
    • S3 備份:選取「已停用」
    • 將「retry」(重試) 和「logging」(記錄) 設定保留為「default」(預設)
  4. 按一下「建立傳送串流」

設定 IAM 權限並訂閱記錄群組

  1. AWS Console 中,依序前往「IAM」>「Policies」>「Create policy」>「JSON」
  2. 貼上下列政策 JSON,並將 <region><account-id> 替換為您的 AWS 區域和帳戶 ID:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "firehose:PutRecord",
            "firehose:PutRecordBatch"
          ],
          "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
        }
      ]
    }
    
    1. 為政策命名 CWLtoFirehoseWrite,然後按一下「建立政策」
    2. 依序前往「IAM」>「角色」>「建立角色」
    3. 選取「自訂信任政策」並貼上:
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "logs.<your-region>.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    
  3. 將政策 CWLtoFirehoseWrite 附加至角色。

  4. 為角色命名 CWLtoFirehoseRole,然後按一下「建立角色」

  5. 依序前往 CloudWatch > Logs > Log groups

  6. 選取目標記錄群組。

  7. 開啟「訂閱項目篩選器」分頁,然後按一下「建立」

  8. 選擇「建立 Amazon Kinesis Data Firehose 訂閱篩選器」

  9. 請提供下列設定詳細資料:

    • 目的地:選取放送串流 cwlogs-to-secops
    • 授予權限:選擇角色 CWLtoFirehoseRole
    • 篩選條件名稱:輸入 all-events
    • 如要傳送所有事件,請將「篩選器模式」留空。
  10. 按一下「開始串流播放」

UDM 對應表

記錄欄位 UDM 對應 邏輯
account principal.user.userid 原始記錄中的 account 值會對應至 principal.user.userid 欄位。
account_id principal.user.userid 原始記錄中的 account_id 值會對應至 principal.user.userid 欄位。
AlertId metadata.product_log_id 原始記錄中的 AlertId 值會對應至 metadata.product_log_id 欄位。
arrivalTimestamp metadata.event_timestamp 原始記錄中的 arrivalTimestamp 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。
attemptsMade additional.fields 原始記錄中的 attemptsMade 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「嘗試次數」。
awsAccountId principal.asset_id 原始記錄中的 awsAccountId 值會加上「AWS 帳戶 ID:」,並對應至 principal.asset_id 欄位。
billed_duration additional.fields 原始記錄中的 billed_duration 值會以鍵/值組合的形式新增至 additional.fields,鍵為「billed_duration」。
BytesIn network.received_bytes 原始記錄中的 BytesIn 值會轉換為無正負號整數,並對應至 network.received_bytes 欄位。
cipher network.tls.cipher 原始記錄中的 cipher 值會對應至 network.tls.cipher 欄位。
Ciphers network.tls.client.supported_ciphers 原始記錄中的 Ciphers 值會以逗號分隔,並將每個值加入 network.tls.client.supported_ciphers 陣列。
cloudwatchLog security_result.description 原始記錄中的 cloudwatchLog 值會對應至 security_result.description 欄位。
CloudAccountId metadata.product_deployment_id 原始記錄中的 CloudAccountId 值會對應至 metadata.product_deployment_id 欄位。
CloudType target.resource.attribute.cloud.environment 原始記錄中的 CloudType 值會決定 target.resource.attribute.cloud.environment 的值。如果 CloudType 為「gcp」,值為「GOOGLE_CLOUD_PLATFORM」。如果 CloudType 為「aws」,值則為「AMAZON_WEB_SERVICES」。如果 CloudType 是「azure」,值為「MICROSOFT_AZURE」。
Context.Execution.Id target.resource.attribute.labels 原始記錄中的 Context.Execution.Id 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,鍵為「Context Id」。
Context.Execution.Name target.resource.attribute.labels 原始記錄中的 Context.Execution.Name 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Context Name」做為鍵。
Context.Execution.RoleArn target.resource.product_object_id 原始記錄中的 Context.Execution.RoleArn 值會對應至 target.resource.product_object_id 欄位。
descr metadata.description 從原始記錄中移除多餘的空白字元後,descr 的值會對應至 metadata.description 欄位,除非該值為「-」。如果 descr 為空,系統會改用 log 的值。
destination.name target.location.country_or_region 原始記錄中的 destination.name 值會對應至 target.location.country_or_region 欄位。
destination.properties.prefix target.resource.attribute.labels 原始記錄中的 destination.properties.prefix 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「目的地屬性前置字元」做為鍵。
detail.additionalEventData.configRuleArn security_result.rule_id 原始記錄中的 detail.additionalEventData.configRuleArn 值會對應至 security_result.rule_id 欄位。
detail.additionalEventData.configRuleName security_result.rule_name 原始記錄中的 detail.additionalEventData.configRuleName 值會對應至 security_result.rule_name 欄位。
detail.additionalEventData.managedRuleIdentifier additional.fields 原始記錄中的 detail.additionalEventData.managedRuleIdentifier 值會以鍵/值組合的形式,新增至 additional.fields,並以「managedRuleIdentifier」做為鍵。
detail.additionalEventData.notificationJobType additional.fields 原始記錄中的 detail.additionalEventData.notificationJobType 值會以鍵/值組合的形式,新增至 additional.fields,並以「notificationJobType」做為鍵。
detail.awsAccountId principal.asset_id 原始記錄中的 detail.awsAccountId 值會加上「AWS 帳戶 ID:」,並對應至 principal.asset_id 欄位。
detail.awsRegion principal.location.name 原始記錄中的 detail.awsRegion 值會對應至 principal.location.name 欄位。
detail.configRuleArn security_result.rule_id 原始記錄中的 detail.configRuleArn 值會對應至 security_result.rule_id 欄位。
detail.configRuleName security_result.rule_name 原始記錄中的 detail.configRuleName 值會對應至 security_result.rule_name 欄位。
detail.configurationItem.awsAccountId principal.user.userid 原始記錄中的 detail.configurationItem.awsAccountId 值會對應至 principal.user.userid 欄位。
detail.configurationItem.awsRegion target.location.country_or_region 原始記錄中的 detail.configurationItem.awsRegion 值會對應至 target.location.country_or_region 欄位。
detail.configurationItem.configuration.complianceType security_result.summary 原始記錄中的 detail.configurationItem.configuration.complianceType 值會對應至 security_result.summary 欄位。
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels 原始記錄中的 detail.configurationItem.configuration.targetResourceId 值會以鍵/值組合的形式,加入 target.resource.attribute.labels 中,並以「configurationItem configuration targetResourceId」做為鍵。
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels 原始記錄中的 detail.configurationItem.configuration.targetResourceType 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「configurationItem configuration targetResourceType」做為鍵。
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time 原始記錄中的 detail.configurationItem.configurationItemCaptureTime 值會轉換為時間戳記,並對應至 _target.asset.attribute.creation_time 欄位。
detail.configurationItem.configurationItemStatus target.resource.attribute.labels 原始記錄中的 detail.configurationItem.configurationItemStatus 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「configurationItem configurationItemStatus」做為鍵。
detail.configurationItem.configurationStateId target.resource.attribute.labels 原始記錄中的 detail.configurationItem.configurationStateId 值會轉換為字串,並以鍵/值組合的形式新增至 target.resource.attribute.labels,鍵為「configurationItem configurationStateId」。
detail.configurationItem.resourceId target.resource.id 原始記錄中的 detail.configurationItem.resourceId 值會對應至 target.resource.id 欄位。
detail.configurationItem.resourceType target.resource.resource_subtype 原始記錄中的 detail.configurationItem.resourceType 值會對應至 target.resource.resource_subtype 欄位。
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id 原始記錄中的 detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn 值會對應至 security_result.rule_id 欄位。
detail.eventCategory security_result.category_details 原始記錄中的 detail.eventCategory 值會對應至 security_result.category_details 欄位。
detail.eventID metadata.product_log_id 原始記錄中的 detail.eventID 值會對應至 metadata.product_log_id 欄位。
detail.eventName additional.fields 原始記錄中的 detail.eventName 值會以鍵/值組合的形式新增至 additional.fields,並以「事件名稱」做為鍵。
detail.eventSource target.application 原始記錄中的 detail.eventSource 值會對應至 target.application 欄位。
detail.eventType additional.fields 原始記錄中的 detail.eventType 值會以鍵/值組合的形式,加入 additional.fields 中,並以「Event Type」做為鍵。
detail.eventVersion metadata.product_version 原始記錄中的 detail.eventVersion 值會對應至 metadata.product_version 欄位。
detail.managementEvent additional.fields 原始記錄中的 detail.managementEvent 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「detail managementEvent」。
detail.messageType target.resource.attribute.labels 原始記錄中的 detail.messageType 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「訊息類型」做為鍵。
detail.newEvaluationResult.complianceType security_result.summary 原始記錄中的 detail.newEvaluationResult.complianceType 值會對應至 security_result.summary 欄位。
detail.newEvaluationResult.configRuleInvokedTime additional.fields 原始記錄中的 detail.newEvaluationResult.configRuleInvokedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_configRuleInvokedTime」做為鍵。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_configRuleName」做為鍵。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值會以鍵/值組合的形式,新增至 additional.fields,並以「newEvaluationResult_resourceId」做為鍵。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 原始記錄中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_resourceType」做為鍵。
detail.newEvaluationResult.resultRecordedTime additional.fields 原始記錄中的 detail.newEvaluationResult.resultRecordedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「newEvaluationResult_resultRecordedTime」做為鍵。
detail.oldEvaluationResult.configRuleInvokedTime additional.fields 原始記錄中的 detail.oldEvaluationResult.configRuleInvokedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_configRuleInvokedTime」做為鍵。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_configRuleName」做為鍵。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值會以鍵/值組合的形式,新增至 additional.fields,並以「oldEvaluationResult_resourceId」做為鍵。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 原始記錄中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_resourceType」做為鍵。
detail.oldEvaluationResult.resultRecordedTime additional.fields 原始記錄中的 detail.oldEvaluationResult.resultRecordedTime 值會以鍵/值組合的形式新增至 additional.fields,並以「oldEvaluationResult_resultRecordedTime」做為鍵。
detail.readOnly additional.fields 原始記錄中的 detail.readOnly 值會轉換為字串,並以鍵/值組合的形式新增至 additional.fields,鍵為「detail readOnly」。
detail.recipientAccountId target.resource.attribute.labels 原始記錄中的 detail.recipientAccountId 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Recipient Account Id」做為鍵。
detail.recordVersion metadata.product_version 原始記錄中的 detail.recordVersion 值會對應至 metadata.product_version 欄位。
detail.requestID target.resource.attribute.labels 原始記錄中的 detail.requestID 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「詳細資料要求 ID」做為鍵。
detail.resourceType target.resource.resource_subtype 原始記錄中的 detail.resourceType 值會對應至 target.resource.resource_subtype 欄位。
detail.s3Bucket about.resource.name 原始記錄中的 detail.s3Bucket 值會對應至 about.resource.name 欄位。
detail.s3ObjectKey target.resource.attribute.labels 原始記錄中的 detail.s3ObjectKey 值會以鍵/值組合的形式,新增至 target.resource.attribute.labels,並以「s3ObjectKey」做為鍵。
detail.userAgent network.http.user_agent 原始記錄中的 detail.userAgent 值會對應至 network.http.user_agent 欄位。
detail.userIdentity.accessKeyId target.user.userid 原始記錄中的 detail.userIdentity.accessKeyId 值會對應至 target.user.userid 欄位。
detail.userIdentity.accountId metadata.product_deployment_id 原始記錄中的 detail.userIdentity.accountId 值會對應至 metadata.product_deployment_id 欄位。
detail.userIdentity.arn target.user.userid 原始記錄中的 detail.userIdentity.arn 值會對應至 target.user.userid 欄位。
detail.userIdentity.principalId principal.user.product_object_id 原始記錄中的 detail.userIdentity.principalId 值會對應至 principal.user.product_object_id 欄位。
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels 原始記錄中的 detail.userIdentity.sessionContext.attributes.mfaAuthenticated 值會以鍵/值組合的形式加入 principal.user.attribute.labels,並以「mfaAuthenticated」做為鍵。
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name 原始記錄中的 detail.userIdentity.sessionContext.sessionIssuer.userName 值會對應至 target.user.user_display_name 欄位。
detail.userIdentity.type principal.resource.type 原始記錄中的 detail.userIdentity.type 值會對應至 principal.resource.type 欄位。
detail-type metadata.product_event_type 原始記錄中的 detail-type 值會對應至 metadata.product_event_type 欄位。
device principal.asset.product_object_id 原始記錄中的 device 值會對應至 principal.asset.product_object_id 欄位。
digestPublicKeyFingerprint target.file.sha1 原始記錄中的 digestPublicKeyFingerprint 值會對應至 target.file.sha1 欄位。
digestS3Bucket principal.resource.name 原始記錄中的 digestS3Bucket 值會對應至 principal.resource.name 欄位。
digestS3Object principal.asset.asset_id 原始記錄中的 digestS3Object 值會加上「S3 Object: 」前置字串,並對應至 principal.asset.asset_id 欄位。
digestSignatureAlgorithm network.tls.cipher 原始記錄中的 digestSignatureAlgorithm 值會對應至 network.tls.cipher 欄位。
digestStartTime metadata.event_timestamp 原始記錄中的 digestStartTime 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。
dimensions.VolumeId additional.fields 原始記錄中的 dimensions.VolumeId 值會以鍵/值組合的形式新增至 additional.fields,並以「VolumeId」做為鍵。
duration additional.fields 原始記錄中的 duration 值會以鍵/值組合的形式新增至 additional.fields,並以「duration」做為鍵。
errorCode security_result.rule_name 原始記錄中的 errorCode 值會對應至 security_result.rule_name 欄位。
errorMessage security_result.summary 原始記錄中的 errorMessage 值會對應至 security_result.summary 欄位。
executionId principal.process.pid 原始記錄中的 executionId 值會對應至 principal.process.pid 欄位。
host principal.hostnameprincipal.ip 原始記錄中的 host 值 (連字號已替換為點) 會剖析為 IP 位址,並在成功時對應至 principal.ip 欄位。否則會對應至 principal.hostname 欄位。
http_verb network.http.method 原始記錄中的 http_verb 值會轉換為大寫,並對應至 network.http.method 欄位。
kubernetes.container_hash additional.fields 原始記錄中的 kubernetes.container_hash 值會以鍵/值組合的形式,加入 additional.fields 中,並以「container_hash」做為鍵。
kubernetes.container_image additional.fields 原始記錄中的 kubernetes.container_image 值會以鍵/值組合的形式新增至 additional.fields,並以「container_image」做為鍵。
kubernetes.container_name additional.fields 原始記錄中的 kubernetes.container_name 值會以鍵/值組合的形式,加入 additional.fields 中,並以「container_name」做為鍵。
kubernetes.docker_id principal.asset_id 原始記錄中的 kubernetes.docker_id 值會加上「id: 」前置字元,並對應至 principal.asset_id 欄位。
kubernetes.host principal.hostnameprincipal.ip 原始記錄中的 kubernetes.host 值 (連字號已替換為點) 會剖析為 IP 位址,並在成功時對應至 principal.ip 欄位。否則會對應至 principal.hostname 欄位。
kubernetes.namespace principal.namespace 原始記錄中的 kubernetes.namespace 值會對應至 principal.namespace 欄位。
kubernetes.namespace_name principal.namespace 原始記錄中的 kubernetes.namespace_name 值會對應至 principal.namespace 欄位。
kubernetes.pod_id principal.asset.asset_id 原始記錄中的 kubernetes.pod_id 值會加上「pod_id: 」前置字串,並對應至 principal.asset.asset_id 欄位。
kubernetes.pod_name additional.fields 原始記錄中的 kubernetes.pod_name 值會以鍵/值組合的形式新增至 additional.fields,並以「Pod 名稱」做為鍵。
lambdaArn principal.hostname 原始記錄中的 lambdaArn 值會對應至 principal.hostname 欄位。
level security_result.severity 原始記錄中的 level 值會決定 security_result.severity 的值。如果 level 是「Info」,值就是「INFORMATIONAL」。如果 level 為「Error」,則值為「ERROR」。如果 level 為「Warning」,則值為「MEDIUM」。
log metadata.description 如果 descr 為空,則原始記錄中的 log 值會對應至 metadata.description 欄位。
logFiles about 針對原始記錄中 logFiles 陣列的每個元素,系統會建立 about 物件,並將 file.full_path 設為 s3Objectasset.hostname 設為 s3Bucket,以及 file.sha256 設為 hashValue
log_processed.cause security_result.summary 原始記錄中的 log_processed.cause 值會對應至 security_result.summary 欄位。
log_processed.ids intermediary.hostname 針對原始記錄中的 log_processed.ids 陣列中的每個元素,系統會建立 intermediary 物件,並將 hostname 設為元素的值。
log_processed.level security_result.severity 原始記錄中的 log_processed.level 值會對應至 security_result.severity 欄位。
log_processed.msg metadata.description 原始記錄中的 log_processed.msg 值會對應至 metadata.description 欄位。
log_processed.ts metadata.event_timestamp 原始記錄中的 log_processed.ts 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。
log_type metadata.log_type 原始記錄中的 log_type 值會對應至 metadata.log_type 欄位。這是為提供背景資訊而新增的自訂欄位。
logevent.message security_result.description 原始記錄中的 logevent.message 值會對應至 security_result.description 欄位。系統也會使用 grok 剖析這項資料,以擷取其他欄位。
logGroup security_result.about.resource.name 原始記錄中的 logGroup 值會對應至 security_result.about.resource.name 欄位。
logStream security_result.about.resource.attribute.labels 原始記錄中的 logStream 值會以鍵/值組合的形式,新增至 security_result.about.resource.attribute.labels,並以「logStream」做為鍵。
memory_used additional.fields 原始記錄中的 memory_used 值會以鍵/值組合的形式加入 additional.fields,並以「memory_used」做為鍵。
metric_name additional.fields 原始記錄中的 metric_name 值會以鍵/值組合的形式加入 additional.fields,並以「metric_name」做為鍵。
metric_stream_name additional.fields 原始記錄中的 metric_stream_name 值會以鍵/值組合的形式,加入 additional.fields 中,並以「metric_stream_name」做為鍵。
namespace principal.namespace 原始記錄中的 namespace 值會對應至 principal.namespace 欄位。
owner principal.user.userid 原始記錄中的 owner 值會對應至 principal.user.userid 欄位。
parameters additional.fields 原始記錄中的 parameters 值會以鍵/值組合的形式,加入 additional.fields 中,並以「Parameters」做為鍵。
Path principal.process.file.full_path 原始記錄中的 Path 值會對應至 principal.process.file.full_path 欄位。
pid principal.process.pid 原始記錄中的 pid 值會對應至 principal.process.pid 欄位。
PolicyName security_result.rule_name 原始記錄中的 PolicyName 值會對應至 security_result.rule_name 欄位。
prin_host principal.hostname 原始記錄中的 prin_host 值會對應至 principal.hostname 欄位。
principal_hostname principal.hostname 原始記錄中的 principal_hostname 值會對應至 principal.hostname 欄位。
process principal.application 原始記錄中的 process 值會對應至 principal.application 欄位。
rawData additional.fields 原始記錄中的 rawData 值會以鍵/值組合的形式新增至 additional.fields,並以「原始資料」做為鍵。
Recommendation security_result.detection_fields 原始記錄中的 Recommendation 值會以鍵/值組合的形式,加入 security_result.detection_fields 中,並以「Recommendation」做為鍵。
referral_url network.http.referral_url 原始記錄中的 referral_url 值會對應至 network.http.referral_url 欄位。
region principal.location.name 原始記錄中的 region 值會對應至 principal.location.name 欄位。
resp_code network.http.response_code 原始記錄中的 resp_code 值會轉換為整數,並對應至 network.http.response_code 欄位。
resource_url network.http.referral_url 原始記錄中的 resource_url 值會對應至 network.http.referral_url 欄位。
ResourceType target.resource.resource_subtype 原始記錄中的 ResourceType 值會對應至 target.resource.resource_subtype 欄位。
response_body additional.fields 原始記錄中的 response_body 值會以鍵/值組合的形式,新增至 additional.fields,並以「回應內文」做為鍵。
Role target.resource.product_object_id 原始記錄中的 Role 值會對應至 target.resource.product_object_id 欄位。
s3_bucket_path target.file.full_path 原始記錄中的 s3_bucket_path 值會對應至 target.file.full_path 欄位。
sec_result.category security_result.category sec_result.category 的值衍生自剖析器邏輯。如果 descr 包含「authentication is required」,則值為「AUTH_VIOLATION」。
sec_result.description security_result.description sec_result.description 的值衍生自剖析器邏輯。如果存在,則會設為 cloudwatchLog 的值。
sec_result.severity security_result.severity sec_result.severity 的值衍生自剖析器邏輯。系統會根據 severitylevel 的值設定這項屬性。
sec_result.summary security_result.summary sec_result.summary 的值衍生自剖析器邏輯。如果存在,則會設為 log_processed.causeerrorMessage 的值。
security_result security_result security_result 物件是由各種欄位和剖析器邏輯建構而成。
serverId additional.fields 原始記錄中的 serverId 值會以鍵/值組合的形式新增至 additional.fields,並以「server_id」做為鍵。
severity security_result.severity 原始記錄中的 severity 值會轉換為大寫並經過正規化處理,然後對應至 security_result.severity 欄位。
Source principal.hostname 原始記錄中的 Source 值會對應至 principal.hostname 欄位。
source principal.hostname 原始記錄中的 source 值會對應至 principal.hostname 欄位。
SourceIP principal.ip 原始記錄中的 SourceIP 值會對應至 principal.ip 欄位。
src_port principal.port 如果 src_port 為「80」,系統會將其轉換為整數並對應至 principal.port 欄位,且 network.application_protocol 會設為「HTTP」。
stream additional.fields 原始記錄中的 stream 值會以鍵/值組合的形式,新增至 additional.fields,並以「stream」做為鍵。
subscriptionFilters security_result.about.resource.attribute.labels 針對原始記錄中的 subscriptionFilters 陣列,系統會將鍵/值組合新增至 security_result.about.resource.attribute.labels,並將鍵設為「subscriptionFilter」,值則設為陣列中的值。
support_contact target.resource.attribute.labels 原始記錄中的 support_contact 值會以鍵/值組合的形式新增至 target.resource.attribute.labels,並以「Support Contact」做為鍵。
t_ip target.ip 從原始記錄中移除連字號後,系統會將 t_ip 的值剖析為 IP 位址,並在成功時對應至 target.ip 欄位。
time metadata.event_timestamp 原始記錄中的 time 值會轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。
timestamp metadata.event_timestamp 原始記錄中的 timestamp 值會轉換為各種格式的時間戳記,並對應至 metadata.event_timestamp 欄位。
tls network.tls.version 原始記錄中的 tls 值會對應至 network.tls.version 欄位。
transferDetails.serverId additional.fields 原始記錄中的 transferDetails.serverId 值會以鍵/值組合的形式新增至 additional.fields,並以「server_id」做為鍵。
transferDetails.sessionId network.session_id 原始記錄中的 transferDetails.sessionId 值會對應至 network.session_id 欄位。
transferDetails.username principal.user.user_display_name 原始記錄中的 transferDetails.username 值會對應至 principal.user.user_display_name 欄位。
ts metadata.event_timestamp 系統會將原始記錄中的 ts 值 (如有時區) 轉換為時間戳記,並對應至 metadata.event_timestamp 欄位。
type metadata.product_event_type 原始記錄中的 type 值會對應至 metadata.product_event_type 欄位。
unit additional.fields 原始記錄中的 unit 值會以鍵/值組合的形式,新增至 additional.fields,並以「unit」做為鍵。
url target.url 原始記錄中的 url 值會對應至 target.url 欄位。
url_back_to_product metadata.url_back_to_product 原始記錄中的 url_back_to_product 值會對應至 metadata.url_back_to_product 欄位。
User principal.user.userid 原始記錄中的 User 值會對應至 principal.user.userid 欄位。
user target.user.useridmetadata.event_typeextensions.auth.mechanism 如果存在 usermetadata.event_type 會設為「USER_LOGIN」,extensions.auth.mechanism 會設為「NETWORK」,且 user 的值會對應至 target.user.userid
value.count additional.fields 原始記錄中的 value.count 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「count」。
value.max additional.fields 原始記錄中的 value.max 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「max」。
value.min additional.fields 原始記錄中的 value.min 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「min」。
value.sum additional.fields 原始記錄中的 value.sum 值會轉換為字串,並以鍵/值組合的形式加入 additional.fields,鍵為「sum」。
workflowId additional.fields 原始記錄中的 workflowId 值會以鍵/值組合的形式新增至 additional.fields,並以「workflowId」做為鍵。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。