AWS GuardDuty ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して AWS GuardDuty のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル GUARDDUTY が付加されたパーサーに適用されます。
始める前に
- AWS S3 バケットが作成されていることを確認します。AWS S3 バケットを作成するには、最初の S3 バケットを作成するをご覧ください。
- KMS 鍵が作成されていることを確認します。KMS 鍵を作成するには、非対称 KMS 鍵の作成をご覧ください。
- AWS GuardDuty に KMS 鍵にアクセスする権限があることを確認します。KMS 鍵へのアクセス権を付与するには、検出結果のエクスポートをご覧ください。GuardDuty は、AWS KMS 鍵を使用してバケット内の検出結果データを暗号化します。
AWS GuardDuty を構成する
AWS GuardDuty を構成する手順は次のとおりです。
- AWS コンソールにログインします。
- [GuardDuty] を検索します。
- [設定] を選択します。
[Finding export option] セクションで、次の操作を行います。
- [検出結果の更新頻度] リストから、[CWE と S3 を 15 分ごとに更新] を選択します。頻度の選択は、更新された検出結果に適用されます。新しい検出結果は、作成から 5 分後にエクスポートされます。
- [S3 バケット] セクションで、GuardDuty の検出結果をエクスポートする S3 バケットを選択します。
- [ログファイルの接頭辞] セクションで、ログファイルの接頭辞を指定します。
- [KMS 暗号化] セクションで、KMS 暗号化を選択します。
- [Key alias] リストから鍵を選択します。
- [保存] をクリックします。
ログファイルが S3 バケットに保存されたら、SQS キューを作成して S3 バケットに接続します。
KMS ポリシーの例
KMS ポリシーの例を次に示します。
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
次のように置き換えます。
- AWS_REGION: 選択したリージョン。
- KEY_ARN: KMS 鍵の Amazon Resource Name(ARN)。
S3、SQS、KMS に必要な IAM ユーザーと KMS 鍵ポリシーを確認します。
サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。
- ロギング ソースの詳細については、AWS Identity and Access Management のエンドポイントと割り当てをご覧ください。
- S3 ロギング ソースの詳細については、Amazon Simple Storage Service のエンドポイントと割り当てをご覧ください。
- SQS ロギング ソースの詳細については、Amazon Simple Queue Service のエンドポイントと割り当てをご覧ください。
AWS GuardDuty ログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] を選択します。
- [新しく追加] をクリックします。
- [フィード名] に固有の名前を入力します。
- [ソースタイプ] として [Amazon S3] または [Amazon SQS] を選択します。
- [ログタイプ] として [AWS GuardDuty] を選択します。
- [次へ] をクリックし、[送信] をクリックします。
- Google Security Operations は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
作成した AWS GuardDuty 構成に基づいて、次のフィールドに値を指定します。
- Amazon S3 を使用している場合
- 地域
- S3 URI
- URI は
- ソース削除オプション
- Amazon SQS を使用している場合
- 地域
- キュー名
- アカウント番号
- キューのアクセスキー ID
- キューのシークレット アクセスキー
- ソース削除オプション
[次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーコードは、AWS GuardDuty の検出結果を JSON 形式で処理し、関連するフィールドを抽出して統合データモデル(UDM)にマッピングします。文字列の置換、配列の結合、データ型の変換などのデータ変換を実行し、分析と相関付けのためにセキュリティ イベントの構造化表現を作成します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| accountId | principal.group.product_object_id | 検出結果に関連付けられている AWS アカウント ID。 |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | ポート スイープ中にスキャンされたポートのリスト。 |
| additionalInfo.sample | security_result.about.labels.value | 検出結果がサンプル検出結果かどうかを示します。 |
| additionalInfo.threatListName | security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| additionalInfo.threatName | security_result.threat_name | 検出をトリガーした脅威の名前。 |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 検出結果に関連付けられているユーザー エージェントのカテゴリ。 |
| arn | target.asset.attribute .cloud.project.product_object_id |
検出結果の Amazon Resource Name(ARN)。 |
| detail.accountId | principal.group.product_object_id | 検出結果に関連付けられている AWS アカウント ID。 |
| detail.description | security_result.description | 検出結果の詳細な説明。 |
| detail.id | target.asset.attribute.cloud.project.id | 検出結果の一意の ID。 |
| detail.resource.accessKeyDetails | principal.user | 検出結果に関連する AWS アクセスキーの詳細。 |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 検出結果に関連する AWS アクセスキーの ID。 |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 検出結果に関連する AWS アクセスキーのプリンシパル ID。 |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーのタイプ。 |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーの名前。 |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 検出結果に関連する S3 バケットの ARN。 |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 検出結果に関連する S3 バケットに使用されているサーバーサイド暗号化のタイプ。 |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 検出結果に関連する S3 バケットの名前。 |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのオーナーの ID。 |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットの有効な権限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の読み取りアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で公開書き込みアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで公開読み取りアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで一般公開の書き込みアクセスが許可されているかどうか。 |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのタイプ。 |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 検出結果に関連付けられているアクションのタイプ。 |
| detail.service.action .awsApiCallAction.api |
principal.application | 検出に関連する AWS API 呼び出しの名前。 |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 検出結果に関連する AWS API 呼び出しを行った呼び出し元のタイプ。 |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 検出結果に関連する AWS API 呼び出しに関連付けられているドメイン名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスの緯度。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスの経度。 |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 検出結果に関連する AWS API 呼び出しを行った IP アドレス。 |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 検出結果に関連する AWS サービスの名前。 |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS リクエストがブロックされたかどうか。 |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 検出結果に関連する DNS リクエストに関連付けられているドメイン名。 |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 検出結果に関連する DNS リクエストに使用されたプロトコル。 |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | ネットワーク接続がブロックされたかどうか。 |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 検出結果に関連するネットワーク接続の方向。 |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | ネットワーク接続に関連するローカル IP アドレス。 |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | ネットワーク接続に関連するローカルポート。 |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | ネットワーク接続に関連するローカルポートの名前。 |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 検出結果に関連するネットワーク接続に使用されるプロトコル。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | ネットワーク接続に関連するリモート IP アドレスに関連付けられている都市名。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | ネットワーク接続に関連するリモート IP アドレスに関連付けられている国名。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | ネットワーク接続に関連するリモート IP アドレス。 |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | ネットワーク接続に関連するリモートポート。 |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | ネットワーク接続に関連するリモートポートの名前。 |
| detail.service.action .portProbeAction.blocked |
security_result.action | ポート プローブがブロックされたかどうか。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | プローブされたローカルポート。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | プローブされたローカルポートの名前。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | ポート プローブを実行したリモート IP アドレスに関連付けられている都市名。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | ポート プローブを実行したリモート IP アドレスに関連付けられている国名。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | ポート プローブを実行したリモート IP アドレスの緯度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | ポート プローブを実行したリモート IP アドレスの緯度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | ポート プローブを実行したリモート IP アドレス。 |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 検出をトリガーした脅威の名前。 |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 検出結果に関連付けられているユーザー エージェントのカテゴリ。 |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
検出結果に関する追加情報。 |
| detail.title | security_result.summary | 検出結果の短いタイトル。 |
| detail.type | metadata.product_event_type | 検出結果のタイプ。 |
| detail.updatedAt | metadata.event_timestamp | 検出結果が最後に更新された時刻。 |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果をトリガーしたイベントのタイプ。 |
| パーティション | target.asset.attribute .cloud.project.type |
検出結果が発生した AWS パーティション。 |
| resource.accessKeyDetails | principal.user | 検出結果に関連する AWS アクセスキーの詳細。 |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 検出結果に関連する AWS アクセスキーの ID。 |
| resource.accessKeyDetails.principalId | principal.user.userid | 検出結果に関連する AWS アクセスキーのプリンシパル ID。 |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーのタイプ。 |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 検出結果に関連する AWS アクセスキーに関連付けられているユーザーの名前。 |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 検出結果に関連する EC2 インスタンスのアベイラビリティ ゾーン。 |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する EC2 インスタンスの起動に使用された AMI の説明。 |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する EC2 インスタンスの起動に使用された AMI の ID。 |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられた IAM インスタンス プロファイルの ARN。 |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられている IAM インスタンス プロファイルの ID。 |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 検出結果に関連する EC2 インスタンスの ID。 |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 検出に関連する EC2 インスタンスの状態。 |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスのタイプ。 |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 検出結果に関連する EC2 インスタンスが起動された時刻。 |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースの ID。 |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのプライベート DNS 名。 |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのパブリック DNS 名。 |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 検出に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのパブリック IP アドレス。 |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 検出結果に関連する EC2 インスタンスに関連付けられているネットワーク インターフェースのプライベート IP アドレス。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているセキュリティ グループの ID。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているセキュリティ グループの名前。 |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられているサブネットの ID。 |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 検出結果に関連する EC2 インスタンスのネットワーク インターフェースに関連付けられている VPC の ID。 |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 検出結果に関連する EC2 インスタンスに関連付けられている Outpost の ARN。 |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 検出結果に関連する EC2 インスタンスのプラットフォーム。 |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 検出結果に関連する EC2 インスタンスに関連付けられているプロダクトコードのタイプ。 |
| resource.instanceDetails.tags | target.asset.attribute.labels | 検出結果に関連する EC2 インスタンスに関連付けられているタグ。 |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 検出結果に関連する Kubernetes ユーザーのユーザー名。 |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
検出結果に関連する RDS DB クラスタの ID。 |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 検出結果に関連する RDS DB インスタンスの ARN。 |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 検出結果に関連する RDS DB インスタンスの ID。 |
| resource.rdsDbUserDetails.user | principal.user.userid | 検出結果に関連する RDS DB ユーザーのユーザー名。 |
| resource.resourceType | target.resource.resource_subtype | 検出結果に関連するリソースのタイプ。 |
| resource.s3BucketDetails | principal.resource.attribute.labels | 検出結果に関連する S3 バケットの詳細。 |
| resource.s3BucketDetails.0.arn | target.resource.name | 検出結果に関連する S3 バケットの ARN。 |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する S3 バケットが作成された時刻。 |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 検出結果に関連する S3 バケットに使用されているサーバーサイド暗号化のタイプ。 |
| resource.s3BucketDetails.0.name | target.resource.name | 検出結果に関連する S3 バケットの名前。 |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのオーナーの ID。 |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 検出結果に関連する S3 バケットの有効な権限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
アカウントで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で一般公開の読み取りアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
アクセス制御リスト(ACL)で公開書き込みアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケットで公開アクセス ブロックが有効になっているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで公開読み取りアクセスが許可されているかどうか。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
バケット ポリシーで一般公開の書き込みアクセスが許可されているかどうか。 |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
検出結果に関連する S3 バケットに関連付けられているタグ。 |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 検出結果に関連する S3 バケットのタイプ。 |
| service.action .actionType |
principal.group.attribute.labels.value | 検出結果に関連付けられているアクションのタイプ。 |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出に関連する AWS CloudTrail トレイルの名前。 |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
検出結果に関連する S3 バケットの名前。 |
| service.action .awsApiCallAction.api |
principal.application | 検出に関連する AWS API 呼び出しの名前。 |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 検出結果に関連する AWS API 呼び出しを行った呼び出し元のタイプ。 |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 検出結果に関連する AWS API 呼び出しに関連付けられているドメイン名。 |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 検出結果に関連する AWS API 呼び出しに関連付けられたエラーコード。 |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスの緯度。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 検出に関連する AWS API 呼び出しを行ったリモート IP アドレスの経度。 |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 検出結果に関連する AWS API 呼び出しを行った IP アドレス。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
検出に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の自律システム番号(ASN)。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の名前。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられているインターネット サービス プロバイダ(ISP)の名前。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
検出結果に関連する AWS API 呼び出しを行ったリモート IP アドレスに関連付けられている組織の名前。 |
| service.action .awsApiCallAction.serviceName |
metadata.description | 検出結果に関連する AWS サービスの名前。 |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS リクエストがブロックされたかどうか。 |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 検出結果に関連する DNS リクエストに関連付けられているドメイン名。 |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 検出結果に関連する DNS リクエストに使用されたプロトコル。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 検出結果に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスに関連付けられている国名。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 検出結果に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスの緯度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 検出に関連する Kubernetes API 呼び出しを行ったリモート IP アドレスの緯度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 検出結果に関連する Kubernetes API 呼び出しを行った IP アドレス。 |
| service.action .networkConnectionAction.blocked |
security_result.action | ネットワーク接続がブロックされたかどうか。 |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 検出結果に関連するネットワーク接続の方向。 |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | ネットワーク接続に関連するローカル IP アドレス。 |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | ネットワーク接続に関連するローカルポート。 |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | ネットワーク接続に関連するローカルポートの名前。 |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 検出結果に関連するネットワーク接続に使用されるプロトコル。 |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | ネットワーク接続に関連するリモート IP アドレスに関連付けられている都市名。 |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | ネットワーク接続に関連するリモート IP アドレスに関連付けられている国名。 |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | ネットワーク接続に関連するリモート IP アドレス。 |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | ネットワーク接続に関連するリモートポート。 |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | ネットワーク接続に関連するリモートポートの名前。 |
| service.action .portProbeAction.blocked |
security_result.action | ポート プローブがブロックされたかどうか。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | プローブされたローカルポート。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | プローブされたローカルポートの名前。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | ポート プローブを実行したリモート IP アドレスに関連付けられている都市名。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | ポート プローブを実行したリモート IP アドレスに関連付けられている国名。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | ポート プローブを実行したリモート IP アドレスの緯度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | ポート プローブを実行したリモート IP アドレスの緯度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | ポート プローブを実行したリモート IP アドレス。 |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | スキャンされたポートの例。 |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 最近使用された認証情報のリスト。 |
| service.additionalInfo.sample | security_result.about .labels.value |
検出結果がサンプル検出結果かどうかを示します。 |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 検出をトリガーした脅威リストの名前。 |
| service.additionalInfo.threatName | security_result.threat_name | 検出をトリガーした脅威の名前。 |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 検出結果に関連付けられている完全なユーザー エージェント文字列。 |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
検出結果に関連付けられているユーザー エージェントのカテゴリ。 |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
検出結果に関する追加情報。 |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
検出結果がアーカイブされているかどうか。 |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
イベントが発生した回数。 |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
検出結果を生成した GuardDuty 検出機能の ID。 |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS ボリューム スキャン中に検出された脅威の合計数。 |
変更点
2024-03-11
- 「service.action.awsApiCallAction.domainDetails.domain」を「network.dns.questions.name」にマッピングしました。
2024-03-05
- 「service.additionalInfo.value」を「security_result.about.labels」にマッピングしました。
- 「service.additionalInfo.value」を「security_result.about.resource.attribute.labels」にマッピングしました。
- 「service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail」を「principal.resource.attribute.labels」にマッピングしました。
2024-02-26
- バグの修正:
- 「resource.eksClusterDetails.createdAt」を「target.resource.attribute.labels」にマッピングしました。
- 「resource.s3BucketDetails.createdAt」を「principal.resource.attribute.labels」にマッピングしました。
- 「resource.eksClusterDetails.tags」を「target.resource.attribute.labels」にマッピングしました。
- 「resource.s3BucketDetails.tags」を「principal.resource.attribute.labels」にマッピングしました。
- 「type」が「:Kubernetes」または「:S3」に類似している場合、「resource.accessKeyDetails.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「service.action.actionType」が「AWS_API_CALL」または「KUBERNETES_API_CALL」に類似している場合、「resource.accessKeyDetails.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「service.action.actionType」が「DNS_REQUEST」に類似している場合、「resource.instanceDetails.instanceId」を「target.resource.product_object_id」にマッピングしました。
2023-08-18
- フィールド「type」に基づいて、フィールド「security_result.attack_details.tactics」、「security_result.attack_details.techniques」をマッピングしました。
- 可能な限り、metadata.event_type を GENERIC_EVENT ではなく、より具体的な event_type にマッピングしました。
- フィールド「type」に基づいて、フィールド「target.resource.resource_subtype」、「target.resource.resource_type」をマッピングしました。
- 「type」値が「:EC2」のすべてのログの場合 -
- 「resource.instanceDetails.instanceId」を「target.resource.product_object_id」にマッピングしました。
- 「resource.instanceDetails.instanceType」を「target.resource.attribute.labels」にマッピングしました。
- 「resource.instanceDetails.launchTime」を「target.resource.attribute.creation_time」にマッピングしました。
- 「type」値が「:RDSV」のすべてのログの場合 -
- 「resource.rdsDbInstanceDetails.dbInstanceIdentifier」を「target.resource.product_object_id」にマッピングしました。
- 「resource.rdsDbInstanceDetails.dbInstanceArn」を「target.resource.name」にマッピングしました。
- 「resource.rdsDbInstanceDetails.dbClusterIdentifier」を「target.resource_ancestors.product_object_id」にマッピングしました。
- 「resource.rdsDbUserDetails.user」を「principal.user.userid」にマッピングしました。
- 「type」の値が「:Kubernetes」のすべてのログの場合 -
- 「resource.eksClusterDetails.arn」を「target.resource.name」にマッピングしました。
- 「type」値が「:Runtime」のすべてのログの場合 -
- 「resource.eksClusterDetails.arn」を「target.resource_ancestors.name」にマッピングしました。
- 「resource.instanceDetails.instanceId」を「target.resource.product_object_id」にマッピングしました。
- 「resource.instanceDetails.instanceType」を「target.resource.attribute.labels」にマッピングしました。
- 「resource.instanceDetails.launchTime」を「target.resource.attribute.creation_time」にマッピングしました。
- 「type」値が「:IAMUser」のすべてのログの場合 -
- 「resource.accessKeyDetails.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「resource.instanceDetails.instanceId」を「target.resource_ancestors.product_object_id」にマッピングしました。
- 「type」値が「:S3」のすべてのログの場合 -
- 「resource.s3BucketDetails.arn」または「resource.s3BucketDetails.name」を「target.resource.name」にマッピングしました。
2023-08-02
- resource.instanceDetails.networkInterfaces が空の場合、metadata.event_type を GENERIC_EVENT にマッピングしました。
- 「detail.resource.accessKeyDetails.principalId」または「resource.accessKeyDetails.principalId」が空の場合、「metadata.event_type」を「USER_RESOURCE_ACCESS」にマッピングしました。
2023-06-19
- 「type」に基づいて「security_result.attack_details」を追加しました。
2023-02-07
- 機能強化 -
- 「threatdetails.threatListName」を「security_result.threat_feed_name」にマッピングしました。
- 「service.additionalInfo.threatName」を「security_result.threat_name」にマッピングしました。
- 「product_event_type」が ["Backdoor:EC2/C&CActivity.B"、"Backdoor:EC2/C&CActivity.B!DNS"、"Trojan:EC2/BlackholeTraffic"、"Trojan:EC2/BlackholeTraffic!DNS"] の場合、「T1071」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"] の場合、「T1078」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「Discovery:IAMUser/AnomalousBehavior」の場合、「T1087」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「Persistence:IAMUser/AnomalousBehavior」の場合、「T1098」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["UnauthorizedAccess:EC2/RDPBruteForce"、"UnauthorizedAccess:EC2/SSHBruteForce"] の場合、「T1110」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"] の場合、「T1133」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「Trojan:EC2/DriveBySourceTraffic!DNS」の場合、「T1189」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「PrivilegeEscalation:IAMUser/AnomalousBehavior」の場合、「T1484」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"] のいずれかの場合、「T1496」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Backdoor:EC2/DenialOfService.Dns"、"Backdoor:EC2/DenialOfService.Tcp"、"Backdoor:EC2/DenialOfService.Udp"、"Backdoor:EC2/DenialOfService.UdpOnTcpPorts"、"Backdoor:EC2/DenialOfService.UnusualProtocol"] の場合、「T1498」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Discovery:S3/MaliciousIPCaller"、"Discovery:S3/MaliciousIPCaller.Custom"、"Discovery:S3/TorIPCaller"] の場合、「T1526」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B」の場合、「T1538」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration」の場合、「T1552」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「CredentialAccess:IAMUser/AnomalousBehavior」の場合、「T1555」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"] の場合、「T1562」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Impact:IAMUser/AnomalousBehavior"、"Impact:S3/MaliciousIPCaller"] の場合、「T1565」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「Trojan:EC2/PhishingDomainRequest!DNS」の場合、「T1566」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Exfiltration:IAMUser/AnomalousBehavior"、"Exfiltration:S3/MaliciousIPCaller"、"Exfiltration:S3/ObjectRead.Unusual"、"Trojan:EC2/DNSDataExfiltration"、"Trojan:EC2/DropPoint"、"Trojan:EC2/DropPoint!DNS"] の場合、「T1567」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Trojan:EC2/DGADomainRequest.C!DNS"、"Trojan:EC2/DGADomainRequest.B"] の場合、「T1568」を「technique_label.value」にマッピングしました。
- 「product_event_type」が「UnauthorizedAccess:EC2/MetadataDNSRebind」の場合、「T1580」を「technique_label」にマッピングしました。
- 「product_event_type」が ["Recon:IAMUser/MaliciousIPCaller"、"Recon:IAMUser/MaliciousIPCaller.Custom"、"Recon:IAMUser/TorIPCaller"] の場合、「T1589」を「technique_label.value」にマッピングしました。
- 「product_event_type」が ["Recon:EC2/PortProbeEMRUnprotectedPort"、"Recon:EC2/PortProbeUnprotectedPort"、"Recon:EC2/Portscan"] の場合、「T1595」を「technique_label.value」にマッピングしました。
- [technique_label][value] が ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] の場合、「Reconnaissance」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] の場合、「ResourceDevelopment」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] の場合、「InitialAccess」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] の場合、「Execution」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] の場合、「Persistence」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] の場合、「PrivilegeEscalation」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] の場合、「DefenseEvasion」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] の場合、「CredentialAccess」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] の場合、「検出」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] の場合、「LateralMovement」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] の場合、「収集」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] の場合、「CommandAndControl」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] の場合、「Exfiltration」を「tatic_label.value」にマッピングしました。
- [technique_label][value] が ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] の場合、「影響」を「tatic_label.value」にマッピングしました。
2022-11-10
- 強化
- 「service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash」を「principal.file.sha256」にマッピングしました。
- 「service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath」を「principal.file.full_path」にマッピングしました。
- 「service.action.dnsRequestAction.domain」を「network.dns.questions.name」にマッピングしました。
- 「resource.kubernetesDetails.kubernetesUserDetails.username」を「principal.user.userid」にマッピングしました。
2022-09-12
- 機能リクエスト:
- ログタイプ(IAM、S3、KUBERNETES、MALWARE、EC2)に応じて「security_result.category」、「metadata.event_type」、「resource_type」、「resource_subtype」を適切にマッピングしました。
2022-08-11
- 機能リクエスト:
- 「GENERIC_EVENT」タイプを「STATUS_UPDATE」または「USER_RESOURCE_ACCESS」event_type に置き換えました。
2022-07-20
- 「service.resourceRole」のマッピングを「additional.resource_role」から「principal.resource.attribute.roles.name」に変更しました。
- 「service.count」のマッピングを「additional.fields」から「principal.resource.attribute.label」に変更しました
- 「resource.instanceDetails.imageDescription」のマッピングを「additional.fields」から「principal.resource.attribute.label」に変更しました
- 「Discovery:S3/MaliciousIPCaller」、「Policy:S3/BucketPublicAccessGranted」、「UnauthorizedAccess:S3/TorIPCaller」、「Policy:S3/BucketAnonymousAccessGranted」、「UnauthorizedAccess:EC2/TorRelay」の「type」値が次のいずれかの場合:
- 「resource.instanceDetails.instanceId」を「target.resource.product_object_id」にマッピングしました
- 「resource.instanceDetails.instanceType」を「target.resource.name」にマッピングしました
2022-07-08
- 「network_interface.securityGroups.0.groupId」のマッピングを「target.user.groupid」から「target.user.group_identifiers」に変更しました。
2022-05-26
- 機能強化 - 次のフィールドのマッピングを変更しました
- フィールド「region」のマッピングを「target.location.country_or_region」から「target.location.name」に変更しました
- フィールド「resource.instanceDetails.tags[n]」のマッピングを「additional.fields[n]」から「target.asset.attribute.labels[n]」に変更しました
- 「service.action.networkConnectionAction.remoteIpDetails.country.countryName」を「target.location.country_or_region」にマッピング
2022-05-27
- 機能強化 - metadata.product_name に保存されている値を「AWS GuardDuty」、metadata.vendor_name を「AMAZON」に変更しました。
2022-03-25
- 機能強化 - Port udm は繰り返しフィールドではありません。そのため、ログから大量のポートをキャプチャするには適していません。この変更では、代わりに about.port を使用します。
2022-03-31
- 強化
- service.action.networkConnectionAction.localPortDetails.portName が「不明」でない場合、値を principal.application にマッピング。
- 「tags」フィールド内のリスト全体が Key-Value フィールドにマッピングされます。
- 「service.action.networkConnectionAction.protocol」を network.ip_protocol にマッピング
- 「service.action.networkConnectionAction.blocked」を security_result.action にマッピング
- 「severity」が security_result.severity_details にマッピングされました
- service.action.actionType が AWS_API_CALL の場合、「accessKeyId」は target.resource.id にマッピングされます。
- s3BucketDetails で、次の操作を行います。
- 「arn」は target.asset.attribute.cloud.project.product_object_id にマッピングされました。
- 「name」は target.resource.name にマッピングされます。
- 「encryptionType」を network.tls.supported_ciphers にマッピングしました。
- 「owner.id」を「target.resource.attribute.labels」にマッピングしました。
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList で、次の操作を行います。
- 「allowsPublicReadAccess」を additional.fields 属性にマッピングしました。
- 「allowsPublicWriteAccess」を additional.fields 属性にマッピングしました。- --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy で、次の操作を行います。
- 「allowsPublicReadAccess」を additional.fields 属性にマッピングしました。
- 「allowsPublicWriteAccess」を additional.fields 属性にマッピングしました。- --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess で、次のようにします。
- 「ignorePublicAcls」を additional.fields 属性にマッピングしました。
- 「restrictPublicBuckets」を additional.fields 属性にマッピングしました。
- 「blockPublicAcls」を additional.fields 属性にマッピングしました。
- 「blockPublicPolicy」を additional.fields 属性にマッピングしました。- --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
- ignorePublicAcls を additional.fields 属性にマッピングしました。
- 「restrictPublicBuckets」を additional.fields 属性に追加しました。
- 「blockPublicAcls」を additional.fields 属性に追加しました。
- 「blockPublicPolicy」を additional.fields 属性に追加しました。
- service.action.awsApiCallAction.remoteIpDetails.organization で、次の操作を行います。
- 「asn」を additional.fields 属性にマッピングしました。
- 「asnOrg」を additional.fields 属性にマッピングしました。
- 「isp」を additional.fields 属性にマッピングしました。
- 「org」を additional.fields 属性にマッピングしました。
- service.action.awsApiCallAction.affectedResources で、「AWS::S3::Bucket」の additional.fields 属性をマッピングしました。
- service.action.actionType が DNS_REQUEST の場合、「accessKeyId」は target.resource.id にマッピングされます。
- resource.instanceDetails.instanceId が target.resource.id にマッピングされている
- resource.instanceDetails.instanceType が target.resource.name にマッピングされている
- resource.instanceDetails.networkInterfaces.0.vpcId を target.asset.attribute.cloud.vpc.id にマッピング
- resource.instanceDetails.tags の値は、次のフィールドにマッピングされました。
- キーが「ApplicationOwner」の場合: target.user.userid
- キーが「Application」の場合は target.application。
- キーが「Contact」の場合は user.email_addresses。
- additional.fields(キーが「Name」、「DAM_Project」、「Project」、「ehc:C3Schedule」の場合)。
- service.action.dnsRequestAction.protocol が、値が 0 でない場合、network.ip_protocol にマッピングされました。
- service.action.networkConnectionAction.blocked は security_result.action にマッピングされました。
- 「severity」は security_result.severity_details にマッピングされます。