Mengumpulkan log AWS GuardDuty

Dokumen ini menjelaskan cara mengumpulkan log AWS GuardDuty dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer GUARDDUTY.

Sebelum memulai

• Pastikan bucket AWS S3 dibuat. Untuk membuat bucket AWS S3, lihat Membuat bucket S3 pertama Anda.
• Pastikan kunci KMS dibuat. Untuk membuat kunci KMS, lihat Membuat kunci KMS asimetris.
• Pastikan AWS GuardDuty memiliki izin untuk mengakses kunci KMS. Untuk memberikan akses ke kunci KMS, lihat Mengekspor temuan. GuardDuty mengenkripsi data temuan di bucket Anda menggunakan kunci AWS KMS.

Mengonfigurasi AWS GuardDuty

Untuk mengonfigurasi AWS GuardDuty, lakukan hal berikut:

1. Login ke konsol AWS.
2. Telusuri GuardDuty.
3. Pilih Setelan.

4. Di bagian Menemukan opsi ekspor, lakukan tindakan berikut:

   1. Dari daftar Frekuensi untuk menemukan pembaruan, pilih Perbarui CWE dan S3 setiap 15 menit. Pilihan frekuensi adalah untuk temuan yang diperbarui. Temuan baru diekspor setelah 5 menit sejak pembuatan.
   2. Di bagian Bucket S3, pilih bucket S3 tempat Anda ingin mengekspor temuan GuardDuty.
   3. Di bagian Log file prefix, berikan awalan file log.
   4. Di bagian KMS encryption, pilih enkripsi KMS.
   5. Dari daftar Key alias, pilih kunci.
   6. Klik Simpan.

5. Setelah file log disimpan di bucket S3, buat antrean SQS dan lampirkan dengan bucket S3.

Contoh kebijakan KMS

Berikut adalah contoh kebijakan KMS:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Ganti kode berikut:

• AWS_REGION: region yang dipilih.
• KEY_ARN: Amazon Resource Name (ARN) kunci KMS.

Periksa kebijakan kunci KMS dan pengguna IAM yang diperlukan untuk S3, SQS, dan KMS.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan merujuk ke dokumentasi AWS berikut:

• Untuk mengetahui informasi tentang sumber logging, lihat Endpoint dan kuota AWS Identity and Access Management.
• Untuk mengetahui informasi tentang sumber logging S3, lihat Endpoint dan kuota Amazon Simple Storage Service.
• Untuk mengetahui informasi tentang sumber logging SQS, lihat Kuota dan endpoint Amazon Simple Queue Service.

Mengonfigurasi feed di Google Security Operations untuk menyerap log AWS GuardDuty

1. Pilih Setelan SIEM > Feed.
2. Klik Tambahkan baru.
3. Masukkan nama unik untuk Nama feed.
4. Pilih Amazon S3 atau Amazon SQS sebagai Source type.
5. Pilih AWS GuardDuty sebagai Jenis log.
6. Klik Berikutnya, lalu klik Kirim.
7. Google Security Operations mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan secret, lihat Mengonfigurasi autentikasi alat dengan AWS.

8. Berdasarkan konfigurasi AWS GuardDuty yang Anda buat, tentukan nilai untuk kolom berikut.

   1. Jika menggunakan Amazon S3
   • Region
   • URI S3
   • URI adalah
   • Opsi penghapusan sumber
   2. Jika menggunakan Amazon SQS
   • Region
   • Nama antrean
   • Nomor akun
   • ID kunci akses antrean
   • Antrean kunci akses rahasia
   • Opsi penghapusan sumber

9. Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations

Referensi pemetaan kolom

Kode parser ini memproses temuan AWS GuardDuty dalam format JSON, mengekstrak kolom yang relevan, dan memetakan kolom tersebut ke model data terpadu (UDM). Fungsi ini melakukan transformasi data, termasuk penggantian string, penggabungan array, dan konversi jenis data, untuk membuat representasi terstruktur peristiwa keamanan guna analisis dan korelasi.

Tabel pemetaan UDM

Perubahan

2024-03-11

• Memetakan "service.action.awsApiCallAction.domainDetails.domain" ke "network.dns.questions.name".

2024-03-05

• Memetakan "service.additionalInfo.value" ke "security_result.about.labels".
• Memetakan "service.additionalInfo.value" ke "security_result.about.resource.attribute.labels".
• Memetakan "service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail" ke "principal.resource.attribute.labels".

2024-02-26

• Perbaikan Bug:
• Memetakan "resource.eksClusterDetails.createdAt" ke "target.resource.attribute.labels".
• Memetakan "resource.s3BucketDetails.createdAt" ke "principal.resource.attribute.labels".
• Memetakan "resource.eksClusterDetails.tags" ke "target.resource.attribute.labels".
• Memetakan "resource.s3BucketDetails.tags" ke "principal.resource.attribute.labels".
• Jika "type" mirip dengan ":Kubernetes" atau ":S3", petakan "resource.accessKeyDetails.accessKeyId" ke "target.resource.product_object_id".
• Jika "service.action.actionType" mirip dengan "AWS_API_CALL" atau "KUBERNETES_API_CALL", petakan "resource.accessKeyDetails.accessKeyId" ke "target.resource.product_object_id".
• Jika "service.action.actionType" mirip dengan "DNS_REQUEST", petakan "resource.instanceDetails.instanceId" ke "target.resource.product_object_id".

2023-08-18

• Kolom yang dipetakan "security_result.attack_details.tactics", "security_result.attack_details.techniques" berdasarkan kolom "type".
• Memetakan 'metadata.event_type' ke jenis peristiwa yang lebih spesifik jika memungkinkan, bukan GENERIC_EVENT.
• Kolom yang dipetakan 'target.resource.resource_subtype', 'target.resource.resource_type' berdasarkan kolom "type".
• Untuk semua log yang memiliki nilai 'type' ':EC2' -
• Memetakan 'resource.instanceDetails.instanceId' ke 'target.resource.product_object_id'.
• Memetakan 'resource.instanceDetails.instanceType' ke 'target.resource.attribute.labels'.
• Memetakan 'resource.instanceDetails.launchTime' ke 'target.resource.attribute.creation_time'.
• Untuk semua log yang memiliki nilai 'type' ':RDSV' -
• Memetakan 'resource.rdsDbInstanceDetails.dbInstanceIdentifier' ke 'target.resource.product_object_id'.
• Memetakan 'resource.rdsDbInstanceDetails.dbInstanceArn' ke 'target.resource.name'.
• Memetakan 'resource.rdsDbInstanceDetails.dbClusterIdentifier' ke 'target.resource_ancestors.product_object_id'.
• Memetakan 'resource.rdsDbUserDetails.user' ke 'principal.user.userid'.
• Untuk semua log yang memiliki nilai 'type' ':Kubernetes' -
• Memetakan ' resource.eksClusterDetails.arn' ke 'target.resource.name'.
• Untuk semua log yang memiliki nilai 'type' ':Runtime' -
• Memetakan 'resource.eksClusterDetails.arn' ke 'target.resource_ancestors.name'.
• Memetakan 'resource.instanceDetails.instanceId' ke 'target.resource.product_object_id'.
• Memetakan 'resource.instanceDetails.instanceType' ke 'target.resource.attribute.labels'.
• Memetakan 'resource.instanceDetails.launchTime' ke 'target.resource.attribute.creation_time'.
• Untuk semua log yang memiliki nilai 'type' ':IAMUser' -
• Memetakan 'resource.accessKeyDetails.accessKeyId' ke 'target.resource.product_object_id'.
• Memetakan 'resource.instanceDetails.instanceId' ke 'target.resource_ancestors.product_object_id'.
• Untuk semua log yang memiliki nilai 'type' ':S3' -
• Memetakan 'resource.s3BucketDetails.arn' atau 'resource.s3BucketDetails.name' ke 'target.resource.name'.

2023-08-02

• Jika 'resource.instanceDetails.networkInterfaces' kosong, pemetakan 'metadata.event_type' ke 'GENERIC_EVENT'.
• Jika 'detail.resource.accessKeyDetails.principalId' atau 'resource.accessKeyDetails.principalId' kosong, petakan 'metadata.event_type' ke 'USER_RESOURCE_ACCESS'.

2023-06-19

• Menambahkan "security_result.attack_details" berdasarkan "type".

2023-02-07

• Peningkatan -
• Memetakan "threatdetails.threatListName" ke "security_result.threat_feed_name".
• Memetakan "service.additionalInfo.threatName" ke "security_result.threat_name".
• Jika "product_event_type" di ["Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"] lalu memetakan "T1071" ke "technique_label.value".
• Jika "product_event_type" di ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"] maka pemetaan "T1078" ke "technique_label.value".
• Jika "product_event_type" adalah "Discovery:IAMUser/AnomalousBehavior", petakan "T1087" ke "technique_label.value".
• Jika "product_event_type" adalah "Persistence:IAMUser/AnomalousBehavior", maka petakan "T1098" ke "technique_label.value".
• Jika "product_event_type" di ["UnauthorizedAccess:EC2/RDPBruteForce", "UnauthorizedAccess:EC2/SSHBruteForce"], maka pemetaan "T1110" ke "technique_label.value".
• Jika "product_event_type" dalam ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"] lalu memetakan "T1133" ke "technique_label.value".
• Jika "product_event_type" adalah "Trojan:EC2/DriveBySourceTraffic!DNS", petakan "T1189" ke "technique_label.value".
• Jika "product_event_type" adalah "PrivilegeEscalation:IAMUser/AnomalousBehavior", petakan "T1484" ke "technique_label.value".
• Jika "product_event_type" dalam ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"] lalu petakan "T1496" ke "technique_label.value".
• Jika "product_event_type" dalam ["Backdoor:EC2/DenialOfService.Dns", "Backdoor:EC2/DenialOfService.Tcp", "Backdoor:EC2/DenialOfService.Udp", "Backdoor:EC2/DenialOfService.UdpOnTcpPorts", "Backdoor:EC2/DenialOfService.UnusualProtocol"], petakan "T1498" ke "technique_label.value".
• Jika "product_event_type" di ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"], petakan "T1526" ke "technique_label.value".
• Jika "product_event_type" adalah "UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B", petakan "T1538" ke "technique_label.value".
• Jika "product_event_type" adalah "UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration", petakan "T1552" ke "technique_label.value".
• Jika "product_event_type" adalah "CredentialAccess:IAMUser/AnomalousBehavior", petakan "T1555" ke "technique_label.value".
• Jika "product_event_type" dalam ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"], petakan "T1562" ke "technique_label.value".
• Jika "product_event_type" di ["Impact:IAMUser/AnomalousBehavior", "Impact:S3/MaliciousIPCaller"], petakan "T1565" ke "technique_label.value".
• Jika "product_event_type" adalah "Trojan:EC2/PhishingDomainRequest!DNS", maka pemetakan "T1566" ke "technique_label.value".
• Jika "product_event_type" dalam ["Exfiltration:IAMUser/AnomalousBehavior", "Exfiltration:S3/MaliciousIPCaller", "Exfiltration:S3/ObjectRead.Unusual", "Trojan:EC2/DNSDataExfiltration", "Trojan:EC2/DropPoint", "Trojan:EC2/DropPoint!DNS"], petakan "T1567" ke "technique_label.value".
• Jika "product_event_type" di ["Trojan:EC2/DGADomainRequest.C!DNS", "Trojan:EC2/DGADomainRequest.B"], maka pemetaannya adalah "T1568" ke "technique_label.value".
• Jika "product_event_type" == "UnauthorizedAccess:EC2/MetadataDNSRebind", petakan "T1580" ke "technique_label".
• Jika "product_event_type" di ["Recon:IAMUser/MaliciousIPCaller", "Recon:IAMUser/MaliciousIPCaller.Custom", "Recon:IAMUser/TorIPCaller"], petakan "T1589" ke "technique_label.value".
• Jika "product_event_type" di ["Recon:EC2/PortProbeEMRUnprotectedPort", "Recon:EC2/PortProbeUnprotectedPort", "Recon:EC2/Portscan"], petakan "T1595" ke "technique_label.value".
• Jika [technique_label][value] dalam ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"], pemetakan "Reconnaissance" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"], petakan "ResourceDevelopment" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"], pemetaan "InitialAccess" ke "tatic_label.value".
• Jika [technique_label][value] dalam ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"], pemetaan "Execution" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] lalu memetakan "Persistence" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"], petakan "PrivilegeEscalation" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] lalu petakan "DefenseEvasion" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] lalu petakan "CredentialAccess" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] lalu petakan "Discovery" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"], pemetakan "LateralMovement" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] lalu petakan "Koleksi" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] lalu petakan "CommandAndControl" ke "tatic_label.value".
• Jika [technique_label][value] dalam ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"], pemeta akan memetakan "Eksfiltrasi" ke "tatic_label.value".
• Jika [technique_label][value] di ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"], petakan "Impact" ke "tatic_label.value".

2022-11-10

• Penyempurnaan
• Memetakan "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash" ke "principal.file.sha256".
• Memetakan "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath" ke "principal.file.full_path".
• Memetakan "service.action.dnsRequestAction.domain" ke "network.dns.questions.name".
• Memetakan "resource.kubernetesDetails.kubernetesUserDetails.username" ke "principal.user.userid".

2022-09-12

• Permintaan Fitur:
• Memetakan 'security_result.category', 'metadata.event_type', 'resource_type', 'resource_subtype' dengan tepat untuk jenis log - 'IAM', 'S3', 'KUBERNETES', 'MALWARE', 'EC2'.

2022-08-11

• Permintaan Fitur:
• Mengganti jenis 'GENERIC_EVENT' menjadi 'STATUS_UPDATE' atau 'USER_RESOURCE_ACCESS' event_type.

2022-07-20

• Mengubah pemetaan untuk "service.resourceRole" dari "additional.resource_role" menjadi "principal.resource.attribute.roles.name".
• Mengubah pemetaan untuk "service.count" dari "additional.fields" menjadi "principal.resource.attribute.label"
• Mengubah pemetaan untuk "resource.instanceDetails.imageDescription" dari "additional.fields" menjadi "principal.resource.attribute.label"
• jika nilai "type" di "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• memetakan "resource.instanceDetails.instanceId" ke "target.resource.product_object_id"
• memetakan "resource.instanceDetails.instanceType" ke "target.resource.name"

2022-07-08

• Pemetaan yang diubah untuk "network_interface.securityGroups.0.groupId" dari "target.user.groupid" menjadi "target.user.group_identifiers".

2022-05-26

• Peningkatan - Pemetaan yang diubah untuk kolom berikut
• Mengubah pemetaan untuk kolom "region" dari "target.location.country_or_region" menjadi "target.location.name"
• Mengubah pemetaan untuk kolom "resource.instanceDetails.tags[n]" dari "additional.fields[n]" menjadi "target.asset.attribute.labels[n]"
• "service.action.networkConnectionAction.remoteIpDetails.country.countryName" dipetakan ke "target.location.country_or_region"

2022-05-27

• Peningkatan - Mengubah nilai yang disimpan di metadata.product_name menjadi 'AWS GuardDuty' dan metadata.vendor_name menjadi 'AMAZON'.

2022-03-25

• Peningkatan - Port udm bukan kolom berulang. Hal ini membuat log tidak cocok untuk merekam banyak port. Perubahan ini menggunakan about.port sebagai gantinya.

2022-03-31

• Penyempurnaan
• Jika service.action.networkConnectionAction.localPortDetails.portName bukan nilai "Unknown" yang dipetakan ke principal.application.
• Seluruh daftar dalam kolom "tag" dipetakan ke kolom nilai kunci.
• "service.action.networkConnectionAction.protocol" dipetakan ke network.ip_protocol
• "service.action.networkConnectionAction.blocked" dipetakan ke security_result.action
• "severity" dipetakan ke security_result.severity_details
• Jika service.action.actionType adalah AWS_API_CALL, "accessKeyId" dipetakan ke target.resource.id.
• Di s3BucketDetails:
• "arn" dipetakan ke target.asset.attribute.cloud.project.product_object_id.
• "name" dipetakan ke target.resource.name.
• "encryptionType" dipetakan ke network.tls.supported_ciphers.
• "owner.id dipetakan ke target.resource.attribute.labels.
• Di bagian resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList:
• memetakan "allowsPublicReadAccess" ke atribut additional.fields.
• memetakan "allowsPublicWriteAccess" ke atribut additional.fields. - --
• Di bagian resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy:
• memetakan "allowsPublicReadAccess" ke atribut additional.fields.
• memetakan "allowsPublicWriteAccess" ke atribut additional.fields. - --
• Di bagian resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess:
• memetakan "ignorePublicAcls" ke atribut additional.fields.
• memetakan "restrictPublicBuckets" ke atribut additional.fields.
• memetakan "blockPublicAcls" ke atribut additional.fields.
• memetakan "blockPublicPolicy" ke atribut additional.fields. - --
• Di bagian resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• memetakan ignorePublicAcls ke atribut additional.fields.
• "restrictPublicBuckets" ke atribut additional.fields.
• "blockPublicAcls" ke atribut additional.fields.
• "blockPublicPolicy" ke atribut additional.fields.
• Di bagian service.action.awsApiCallAction.remoteIpDetails.organization:
• "asn" dipetakan ke atribut additional.fields.
• "asnOrg" dipetakan ke atribut additional.fields.
• "isp" dipetakan ke atribut additional.fields.
• "org" dipetakan ke atribut additional.fields.
• Di bagian service.action.awsApiCallAction.affectedResources, atribut additional.fields "AWS::S3::Bucket" yang dipetakan.
• Jika service.action.actionType adalah DNS_REQUEST, "accessKeyId" dipetakan ke target.resource.id.
• resource.instanceDetails.instanceId dipetakan ke target.resource.id
• resource.instanceDetails.instanceType dipetakan ke target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId dipetakan ke target.asset.attribute.cloud.vpc.id
• Nilai di bagian resource.instanceDetails.tags memetakan kolom berikut:
• target.user.userid jika kuncinya adalah "ApplicationOwner".
• target.application jika kuncinya adalah "Application".
• user.email_addresses jika kuncinya adalah "Kontak".
• additional.fields jika kuncinya adalah "Name", "DAM_Project", "Project", atau "ehc:C3Schedule".
• service.action.dnsRequestAction.protocol memetakan network.ip_protocol jika nilainya bukan 0.
• service.action.networkConnectionAction.blocked dipetakan ke security_result.action.
• "severity" dipetakan ke security_result.severity_details.