AWS GuardDuty-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie AWS GuardDuty-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel GUARDDUTY.

Hinweise

• Achten Sie darauf, dass ein AWS S3-Bucket erstellt wird. Informationen zum Erstellen des AWS S3-Buckets finden Sie unter Ersten S3-Bucket erstellen.
• Achten Sie darauf, dass ein KMS-Schlüssel erstellt wird. Informationen zum Erstellen des KMS-Schlüssels finden Sie unter Asymmetrische KMS-Schlüssel erstellen.
• Achten Sie darauf, dass AWS GuardDuty die Berechtigung zum Zugriff auf den KMS-Schlüssel hat. Informationen zum Gewähren des Zugriffs auf den KMS-Schlüssel finden Sie unter Ergebnisse exportieren. GuardDuty verschlüsselt die Daten zu den Ergebnissen in Ihrem Bucket mit einem AWS KMS-Schlüssel.

AWS GuardDuty konfigurieren

So konfigurieren Sie AWS GuardDuty:

1. Melden Sie sich in der AWS-Konsole an.
2. Suchen Sie nach GuardDuty.
3. Wählen Sie Einstellungen aus.

4. Führen Sie im Abschnitt Exportoption finden die folgenden Schritte aus:

   1. Wählen Sie in der Liste Häufigkeit der aktualisierten Ergebnisse die Option CWE und S3 alle 15 Minuten aktualisieren aus. Die Auswahl der Häufigkeit bezieht sich auf die aktualisierten Ergebnisse. Die neuen Ergebnisse werden 5 Minuten nach der Erstellung exportiert.
   2. Wählen Sie im Bereich S3-Bucket den S3-Bucket aus, in den Sie die GuardDuty-Ergebnisse exportieren möchten.
   3. Geben Sie im Abschnitt Logdateipräfix das Präfix der Logdatei an.
   4. Wählen Sie im Abschnitt KMS-Verschlüsselung die KMS-Verschlüsselung aus.
   5. Wählen Sie in der Liste Schlüsselalias den Schlüssel aus.
   6. Klicken Sie auf Speichern.

5. Nachdem die Protokolldateien im S3-Bucket gespeichert wurden, erstellen Sie eine SQS-Warteschlange und verknüpfen Sie sie mit dem S3-Bucket.

Beispiel für eine KMS-Richtlinie

Im Folgenden finden Sie eine Beispiel-KMS-Richtlinie:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Ersetzen Sie Folgendes:

• AWS_REGION: die ausgewählte Region.
• KEY_ARN: Amazon-Ressourcenname (ARN) des KMS-Schlüssels.

Prüfen Sie die erforderlichen IAM-Nutzer- und KMS-Schlüsselrichtlinien für S3, SQS und KMS.

Bestimme anhand des Dienstes und der Region die Endpunkte für die Konnektivität. Orientiere dich dabei an der folgenden AWS-Dokumentation:

• Informationen zu Protokollierungsquellen finden Sie unter Endpunkte und Kontingente für die AWS Identity and Access Management.
• Informationen zu S3-Loggingquellen finden Sie unter Amazon Simple Storage Service-Endpunkte und ‑Kontingente.
• Informationen zu SQS-Loggingquellen finden Sie unter Endpunkte und Kontingente für Amazon Simple Queue Service.

Feed in Google Security Operations für die Aufnahme von AWS GuardDuty-Protokollen konfigurieren

1. Wählen Sie SIEM-Einstellungen > Feeds aus.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie einen eindeutigen Namen für den Feednamen ein.
4. Wählen Sie als Quelltyp Amazon S3 oder Amazon SQS aus.
5. Wählen Sie AWS GuardDuty als Logtyp aus.
6. Klicken Sie auf Weiter und dann auf Senden.
7. Google Security Operations unterstützt die Protokollerhebung mit einer Zugriffsschlüssel-ID und einer geheimen Methode. Informationen zum Erstellen der Zugriffsschlüssel-ID und des geheimen Schlüssels finden Sie unter Toolauthentifizierung mit AWS konfigurieren.

8. Geben Sie basierend auf der von Ihnen erstellten AWS GuardDuty-Konfiguration Werte für die folgenden Felder an.

   1. Wenn Sie Amazon S3 verwenden
   • Region
   • S3-URI
   • URI ist ein
   • Option zum Löschen von Quellen
   2. Wenn Sie Amazon SQS verwenden
   • Region
   • Name der Warteschlange
   • Kontonummer
   • Zugriffsschlüssel-ID der Warteschlange
   • Secret-Zugriffsschlüssel für die Warteschlange
   • Option zum Löschen von Quellen

9. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parsercode verarbeitet AWS GuardDuty-Ergebnisse im JSON-Format, extrahiert relevante Felder und ordnet sie einem einheitlichen Datenmodell (UDM) zu. Dabei werden Datentransformationen wie Stringersetzungen, Arrays zusammenführen und Datentypen konvertieren ausgeführt, um eine strukturierte Darstellung des Sicherheitsereignisses für Analyse und Korrelation zu erstellen.

UDM-Zuordnungstabelle

Änderungen

2024-03-11

• „service.action.awsApiCallAction.domainDetails.domain“ wurde in „network.dns.questions.name“ geändert.

2024-03-05

• „service.additionalInfo.value“ wurde in „security_result.about.labels“ umgewandelt.
• „service.additionalInfo.value“ wurde in „security_result.about.resource.attribute.labels“ umgewandelt.
• „service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail“ wurde in „principal.resource.attribute.labels“ geändert.

2024-02-26

• Fehlerkorrektur:
• „resource.eksClusterDetails.createdAt“ wurde in „target.resource.attribute.labels“ geändert.
• „resource.s3BucketDetails.createdAt“ wurde in „principal.resource.attribute.labels“ umgewandelt.
• „resource.eksClusterDetails.tags“ wurde in „target.resource.attribute.labels“ umgewandelt.
• „resource.s3BucketDetails.tags“ wurde in „principal.resource.attribute.labels“ geändert.
• Wenn „type“ mit „:Kubernetes“ oder „:S3“ übereinstimmt, wird „resource.accessKeyDetails.accessKeyId“ mit „target.resource.product_object_id“ abgeglichen.
• Wenn „service.action.actionType“ mit „AWS_API_CALL“ oder „KUBERNETES_API_CALL“ übereinstimmt, wird „resource.accessKeyDetails.accessKeyId“ mit „target.resource.product_object_id“ abgeglichen.
• Wenn „service.action.actionType“ mit „DNS_REQUEST“ übereinstimmt, wird „resource.instanceDetails.instanceId“ mit „target.resource.product_object_id“ abgeglichen.

2023-08-18

• Zugeordnete Felder „security_result.attack_details.tactics“, „security_result.attack_details.techniques“ basierend auf dem Feld „type“.
• „metadata.event_type“ wurde nach Möglichkeit auf spezifischere Ereignistypen anstelle von „GENERIC_EVENT“ zugeordnet.
• Die zugeordneten Felder „target.resource.resource_subtype“ und „target.resource.resource_type“ basieren auf dem Feld „type“.
• Für alle Protokolle mit dem Wert „type“: „:EC2“:
• „resource.instanceDetails.instanceId“ wurde „target.resource.product_object_id“ zugeordnet.
• „resource.instanceDetails.instanceType“ wurde in „target.resource.attribute.labels“ umgewandelt.
• „resource.instanceDetails.launchTime“ wurde in „target.resource.attribute.creation_time“ umgewandelt.
• Für alle Protokolle mit dem Wert „type“: „:RDSV“:
• „resource.rdsDbInstanceDetails.dbInstanceIdentifier“ wurde in „target.resource.product_object_id“ umgewandelt.
• „resource.rdsDbInstanceDetails.dbInstanceArn“ wurde in „target.resource.name“ umgewandelt.
• „resource.rdsDbInstanceDetails.dbClusterIdentifier“ wurde in „target.resource_ancestors.product_object_id“ umgewandelt.
• „resource.rdsDbUserDetails.user“ wurde „principal.user.userid“ zugeordnet.
• Für alle Logs mit dem Wert „type“: „Kubernetes“:
• „resource.eksClusterDetails.arn“ wurde in „target.resource.name“ umgewandelt.
• Für alle Protokolle mit dem Wert „type“: „Runtime“:
• „resource.eksClusterDetails.arn“ wurde in „target.resource_ancestors.name“ umgewandelt.
• „resource.instanceDetails.instanceId“ wurde „target.resource.product_object_id“ zugeordnet.
• „resource.instanceDetails.instanceType“ wurde in „target.resource.attribute.labels“ umgewandelt.
• „resource.instanceDetails.launchTime“ wurde in „target.resource.attribute.creation_time“ umgewandelt.
• Für alle Protokolle mit dem Wert „type“: „:IAMUser“:
• „resource.accessKeyDetails.accessKeyId“ wurde auf „target.resource.product_object_id“ zugeordnet.
• „resource.instanceDetails.instanceId“ wurde „target.resource_ancestors.product_object_id“ zugeordnet.
• Für alle Protokolle mit dem Wert „type“ :S3:
• „resource.s3BucketDetails.arn“ oder „resource.s3BucketDetails.name“ wurde auf „target.resource.name“ zugeordnet.

2023-08-02

• Wenn „resource.instanceDetails.networkInterfaces“ leer ist, wird „metadata.event_type“ mit „GENERIC_EVENT“ verknüpft.
• Wenn „detail.resource.accessKeyDetails.principalId“ oder „resource.accessKeyDetails.principalId“ leer ist, wird „metadata.event_type“ mit „USER_RESOURCE_ACCESS“ abgeglichen.

2023-06-19

• „security_result.attack_details“ basierend auf „type“ hinzugefügt.

2023-02-07

• Verbesserung –
• „threatdetails.threatListName“ wurde in „security_result.threat_feed_name“ umgewandelt.
• „service.additionalInfo.threatName“ wurde in „security_result.threat_name“ umgewandelt.
• Wenn „product_event_type“ eine der folgenden Werte enthält: „Backdoor:EC2/C&CActivity.B“, „Backdoor:EC2/C&CActivity.B!DNS“, „Trojan:EC2/BlackholeTraffic“ oder „Trojan:EC2/BlackholeTraffic!DNS“, wird „T1071“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„PenTest:IAMUser/KaliLinux“, „PenTest:IAMUser/ParrotLinux“, „PenTest:IAMUser/PentooLinux“, „PenTest:S3/KaliLinux“, „PenTest:S3/ParrotLinux“, „PenTest:S3/PentooLinux“, „Policy:IAMUser/RootCredentialUsage“, „UnauthorizedAccess:EC2/MaliciousIPCaller.Custom“, „UnauthorizedAccess:EC2/TorClient“] ist, wird „T1078“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „Discovery:IAMUser/AnomalousBehavior“ ist, wird „T1087“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „Persistence:IAMUser/AnomalousBehavior“ ist, wird „T1098“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„UnauthorizedAccess:EC2/RDPBruteForce“, „UnauthorizedAccess:EC2/SSHBruteForce“] ist, wird „T1110“ zu „technique_label.value“ zugeordnet.
• Wenn „product_event_type“ in [„InitialAccess:IAMUser/AnomalousBehavior“, „UnauthorizedAccess:IAMUser/MaliciousIPCaller“, „UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom“, „UnauthorizedAccess:IAMUser/TorIPCaller“, „UnauthorizedAccess:S3/MaliciousIPCaller.Custom“, „UnauthorizedAccess:S3/TorIPCaller“] ist, wird „T1133“ zu „technique_label.value“ zugeordnet.
• Wenn „product_event_type“ „Trojan:EC2/DriveBySourceTraffic!DNS“ ist, wird „T1189“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „PrivilegeEscalation:IAMUser/AnomalousBehavior“ ist, wird „T1484“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ eine der folgenden Werte ist: „Backdoor:EC2/Spambot“, „CryptoCurrency:EC2/BitcoinTool.B“, „CryptoCurrency:EC2/BitcoinTool.B!DNS“, „Impact:EC2/AbusedDomainRequest.Reputation“, „Impact:EC2/BitcoinDomainRequest.Reputation“, „Impact:EC2/MaliciousDomainRequest.Reputation“, „Impact:EC2/PortSweep“, „Impact:EC2/SuspiciousDomainRequest.Reputation“, „Impact:EC2/WinRMBruteForce“ oder „UnauthorizedAccess:EC2/TorRelay“, wird „T1496“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ eine der folgenden Werte ist: „Backdoor:EC2/DenialOfService.Dns“, „Backdoor:EC2/DenialOfService.Tcp“, „Backdoor:EC2/DenialOfService.Udp“, „Backdoor:EC2/DenialOfService.UdpOnTcpPorts“ oder „Backdoor:EC2/DenialOfService.UnusualProtocol“, wird „T1498“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„Discovery:S3/MaliciousIPCaller“, „Discovery:S3/MaliciousIPCaller.Custom“, „Discovery:S3/TorIPCaller“] ist, wird „T1526“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B“ ist, wird „T1538“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration“ ist, wird „T1552“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ den Wert „CredentialAccess:IAMUser/AnomalousBehavior“ hat, wird „T1555“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„DefenseEvasion:IAMUser/AnomalousBehavior“, „Policy:S3/AccountBlockPublicAccessDisabled“, „Policy:S3/BucketAnonymousAccessGranted“, „Policy:S3/BucketBlockPublicAccessDisabled“, „Policy:S3/BucketPublicAccessGranted“, „Stealth:IAMUser/CloudTrailLoggingDisabled“, „Stealth:IAMUser/PasswordPolicyChange“, „Stealth:S3/ServerAccessLoggingDisabled“] ist, wird „T1562“ zu „technique_label.value“ zugeordnet.
• Wenn „product_event_type“ in [„Impact:IAMUser/AnomalousBehavior“, „Impact:S3/MaliciousIPCaller“] ist, wird „T1565“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ „Trojan:EC2/PhishingDomainRequest!DNS“ ist, wird „T1566“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ eine der folgenden Werte ist: „Exfiltration:IAMUser/AnomalousBehavior“, „Exfiltration:S3/MaliciousIPCaller“, „Exfiltration:S3/ObjectRead.Unusual“, „Trojan:EC2/DNSDataExfiltration“, „Trojan:EC2/DropPoint“, „Trojan:EC2/DropPoint!DNS“, wird „T1567“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„Trojan:EC2/DGADomainRequest.C!DNS“, „Trojan:EC2/DGADomainRequest.B“] ist, wird „T1568“ zu „technique_label.value“ zugeordnet.
• Wenn „product_event_type“ == „UnauthorizedAccess:EC2/MetadataDNSRebind“, wird „T1580“ mit „technique_label“ abgeglichen.
• Wenn „product_event_type“ eine der folgenden Werte ist: „Recon:IAMUser/MaliciousIPCaller“, „Recon:IAMUser/MaliciousIPCaller.Custom“ oder „Recon:IAMUser/TorIPCaller“, wird „T1589“ mit „technique_label.value“ abgeglichen.
• Wenn „product_event_type“ in [„Recon:EC2/PortProbeEMRUnprotectedPort“, „Recon:EC2/PortProbeUnprotectedPort“, „Recon:EC2/Portscan“] ist, wird „T1595“ zu „technique_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] ist, wird „Reconnaissance“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] ist, wird „Ressourcenentwicklung“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] ist, wird „InitialAccess“ mit „tatic_label.value“ abgeglichen.
• Wenn [technique_label][value] in ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] ist, wird „Ausführung“ mit „tatic_label.value“ abgeglichen.
• Wenn [technique_label][value] in ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] dann wird „Durchhaltevermögen“ mit „tatic_label.value“ abgeglichen.
• Wenn [technique_label][value] in ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] dann wird „PrivilegeEscalation“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] dann „DefenseEvasion“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] dann „CredentialAccess“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] dann „Discovery“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] ist, wird „LateralMovement“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] dann wird „Sammlung“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] dann „CommandAndControl“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] ist, wird „Exfiltration“ zu „tatic_label.value“ zugeordnet.
• Wenn [technique_label][value] in ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] ist, wird „Auswirkung“ auf „tatic_label.value“ zugeordnet.

2022-11-10

• Optimierung
• „service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash“ wurde in „principal.file.sha256“ umgewandelt.
• „service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath“ wurde in „principal.file.full_path“ umgewandelt.
• „service.action.dnsRequestAction.domain“ wurde in „network.dns.questions.name“ geändert.
• „resource.kubernetesDetails.kubernetesUserDetails.username“ wurde in „principal.user.userid“ umgewandelt.

2022-09-12

• Funktionsanfrage:
• Die Felder „security_result.category“, „metadata.event_type“, „resource_type“ und „resource_subtype“ wurden für die Logtypen „IAM“, „S3“, „KUBERNETES“, „MALWARE“ und „EC2“ entsprechend zugeordnet.

2022-08-11

• Funktionsanfrage:
• Der Ereignistyp „GENERIC_EVENT“ wurde durch „STATUS_UPDATE“ oder „USER_RESOURCE_ACCESS“ ersetzt.

2022-07-20

• Die Zuordnung für „service.resourceRole“ wurde von „additional.resource_role“ zu „principal.resource.attribute.roles.name“ geändert.
• Die Zuordnung für „service.count“ wurde von „additional.fields“ zu „principal.resource.attribute.label“ geändert.
• Die Zuordnung für „resource.instanceDetails.imageDescription“ wurde von „additional.fields“ zu „principal.resource.attribute.label“ geändert.
• if "type" value in "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• „resource.instanceDetails.instanceId“ wurde in „target.resource.product_object_id“ umgewandelt
• „resource.instanceDetails.instanceType“ wurde in „target.resource.name“ umgewandelt

2022-07-08

• Die Zuordnung für „network_interface.securityGroups.0.groupId“ wurde von „target.user.groupid“ zu „target.user.group_identifiers“ geändert.

2022-05-26

• Verbesserung: Änderung der Zuordnungen für die folgenden Felder
• Die Zuordnung für das Feld „region“ wurde von „target.location.country_or_region“ zu „target.location.name“ geändert.
• Die Zuordnung für das Feld „resource.instanceDetails.tags[n]“ wurde von „additional.fields[n]“ zu „target.asset.attribute.labels[n]“ geändert.
• „service.action.networkConnectionAction.remoteIpDetails.country.countryName“ wird auf „target.location.country_or_region“ zugeordnet

2022-05-27

• Verbesserung: Der in „metadata.product_name“ gespeicherte Wert wurde in „AWS GuardDuty“ und der in „metadata.vendor_name“ gespeicherte Wert in „AMAZON“ geändert.

2022-03-25

• Verbesserung: „Port udm“ ist kein wiederholtes Feld. Daher ist es nicht geeignet, viele Ports aus einem Protokoll zu erfassen. Stattdessen wird jetzt about.port verwendet.

2022-03-31

• Optimierung
• Wenn „service.action.networkConnectionAction.localPortDetails.portName“ nicht dem Wert „Unbekannt“ zugeordnet ist, der principal.application zugewiesen ist.
• Die gesamte Liste im Feld „Tags“ wird Schlüssel/Wert-Feldern zugeordnet.
• „service.action.networkConnectionAction.protocol“ wird auf „network.ip_protocol“ zugeordnet
• „service.action.networkConnectionAction.blocked“ wird auf „security_result.action“ zugeordnet
• „severity“ wird auf security_result.severity_details zugeordnet
• Wenn „service.action.actionType“ AWS_API_CALL ist, wird „accessKeyId“ mit „target.resource.id“ abgeglichen.
• In s3BucketDetails:
• „arn“ ist auf „target.asset.attribute.cloud.project.product_object_id“ zugeordnet.
• „name“ ist auf „target.resource.name“ zugeordnet.
• „encryptionType“ wird auf network.tls.supported_ciphers zugeordnet.
• „owner.id“ ist mit „target.resource.attribute.labels“ verknüpft.
• Unter „resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList“:
• „allowsPublicReadAccess“ wurde dem Attribut „additional.fields“ zugeordnet.
• „allowsPublicWriteAccess“ dem Attribut „additional.fields“ zugeordnet - --
• Unter „resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy“:
• „allowsPublicReadAccess“ wurde dem Attribut „additional.fields“ zugeordnet.
• „allowsPublicWriteAccess“ dem Attribut „additional.fields“ zugeordnet - --
• Unter „resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess“:
• „ignorePublicAcls“ wurde dem Attribut „additional.fields“ zugeordnet.
• „restrictPublicBuckets“ wurde dem Attribut „additional.fields“ zugeordnet.
• „blockPublicAcls“ wurde dem Attribut „additional.fields“ zugeordnet.
• „blockPublicPolicy“ wurde dem Attribut „additional.fields“ zugeordnet. - --
• Unter „resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess“
• „ignorePublicAcls“ wurde dem Attribut „additional.fields“ zugeordnet.
• „restrictPublicBuckets“ wurde dem Attribut „additional.fields“ hinzugefügt.
• „blockPublicAcls“ zum Attribut „additional.fields“
• „blockPublicPolicy“ zum Attribut „additional.fields“
• Unter „service.action.awsApiCallAction.remoteIpDetails.organization“:
• „asn“ wurde dem Attribut „additional.fields“ zugeordnet.
• „asnOrg“ wurde dem Attribut „additional.fields“ zugeordnet.
• „isp“ wurde dem Attribut „additional.fields“ zugeordnet.
• „org“ wurde dem Attribut „additional.fields“ zugeordnet.
• Unter „service.action.awsApiCallAction.affectedResources“ wurde das Attribut „additional.fields“ mit „AWS::S3::Bucket“ verknüpft.
• Wenn „service.action.actionType“ DNS_REQUEST ist, wird „accessKeyId“ mit „target.resource.id“ abgeglichen.
• resource.instanceDetails.instanceId muss mit target.resource.id übereinstimmen
• resource.instanceDetails.instanceType ist auf target.resource.name gemappt
• resource.instanceDetails.networkInterfaces.0.vpcId wird auf target.asset.attribute.cloud.vpc.id zugeordnet
• Die Werte unter „resource.instanceDetails.tags“ wurden den folgenden Feldern zugeordnet:
• „target.user.userid“, wenn der Schlüssel „ApplicationOwner“ ist.
• target.application, wenn der Schlüssel „Application“ ist.
• „user.email_addresses“, wenn der Schlüssel „Kontakt“ ist.
• additional.fields, wenn der Schlüssel „Name“, „DAM_Project“, „Project“ oder „ehc:C3Schedule“ ist.
• service.action.dnsRequestAction.protocol mit network.ip_protocol abgeglichen, wenn der Wert nicht 0 ist.
• service.action.networkConnectionAction.blocked wurde security_result.action zugeordnet.
• „severity“ ist security_result.severity_details zugeordnet.