AWS GuardDuty 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 AWS GuardDuty 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 GUARDDUTY 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
- AWS S3 버킷이 생성되었는지 확인합니다. AWS S3 버킷을 만들려면 첫 번째 S3 버킷 만들기를 참고하세요.
- KMS 키가 생성되었는지 확인합니다. KMS 키를 만들려면 비대칭 KMS 키 만들기를 참고하세요.
- AWS GuardDuty에 KMS 키에 액세스할 권한이 있는지 확인합니다. KMS 키에 대한 액세스 권한을 부여하려면 결과 내보내기를 참고하세요. GuardDuty는 AWS KMS 키를 사용하여 버킷의 발견 항목 데이터를 암호화합니다.
AWS GuardDuty 구성
AWS GuardDuty를 구성하려면 다음 단계를 따르세요.
- AWS 콘솔에 로그인합니다.
- GuardDuty를 검색합니다.
- 설정을 선택합니다.
내보내기 옵션 찾기 섹션에서 다음을 수행합니다.
- 업데이트된 발견 항목의 빈도 목록에서 15분마다 CWE 및 S3 업데이트를 선택합니다. 빈도 선택은 업데이트된 발견 항목에 적용됩니다. 새 발견 항목은 생성 후 5분이 지나면 내보내집니다.
- S3 버킷 섹션에서 GuardDuty 발견 항목을 내보낼 S3 버킷을 선택합니다.
- 로그 파일 접두사 섹션에 로그 파일 접두사를 입력합니다.
- KMS 암호화 섹션에서 KMS 암호화를 선택합니다.
- 키 별칭 목록에서 키를 선택합니다.
- 저장을 클릭합니다.
로그 파일이 S3 버킷에 저장된 후 SQS 대기열을 만들고 S3 버킷에 연결합니다.
샘플 KMS 정책
다음은 샘플 KMS 정책입니다.
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
다음을 바꿉니다.
- AWS_REGION: 선택한 리전입니다.
- KEY_ARN: KMS 키의 Amazon 리소스 이름 (ARN)입니다.
S3, SQS, KMS에 필요한 IAM 사용자 및 KMS 키 정책을 확인합니다.
서비스 및 리전을 기반으로 다음 AWS 문서를 참고하여 연결 엔드포인트를 식별합니다.
- 로깅 소스에 관한 자세한 내용은 AWS Identity and Access Management 엔드포인트 및 할당량을 참고하세요.
- S3 로깅 소스에 대한 자세한 내용은 Amazon Simple Storage Service 엔드포인트 및 할당량을 참고하세요.
- SQS 로깅 소스에 관한 자세한 내용은 Amazon Simple Queue Service 엔드포인트 및 할당량을 참고하세요.
AWS GuardDuty 로그를 수집하도록 Google Security Operations에서 피드 구성
- SIEM 설정 > 피드를 선택합니다.
- 새로 추가를 클릭합니다.
- 피드 이름에 고유한 이름을 입력합니다.
- 소스 유형으로 Amazon S3 또는 Amazon SQS를 선택합니다.
- 로그 유형으로 AWS GuardDuty를 선택합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
- Google Security Operations는 액세스 키 ID 및 비밀 메서드를 사용하여 로그 수집을 지원합니다. 액세스 키 ID와 보안 비밀을 만들려면 AWS로 도구 인증 구성을 참고하세요.
사용자가 만든 AWS GuardDuty 구성에 따라 다음 필드의 값을 지정합니다.
- Amazon S3를 사용하는 경우
- 리전
- S3 URI
- URI
- 소스 삭제 옵션
- Amazon SQS를 사용하는 경우
- 리전
- 대기열 이름
- 계정 번호
- 현재 재생목록 액세스 키 ID
- 현재 재생목록 보안 비밀 액세스 키
- 소스 삭제 옵션
다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서 코드는 JSON 형식의 AWS GuardDuty 결과를 처리하여 관련 필드를 추출하고 통합 데이터 모델 (UDM)에 매핑합니다. 문자열 대체, 배열 병합, 데이터 유형 변환을 비롯한 데이터 변환을 실행하여 분석 및 상관 관계를 위한 보안 이벤트의 구조화된 표현을 만듭니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| accountId | principal.group.product_object_id | 문제와 연결된 AWS 계정 ID입니다. |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | 포트 스윕 중에 스캔된 포트 목록입니다. |
| additionalInfo.sample | security_result.about.labels.value | 발견 항목이 샘플 발견 항목인지 여부를 나타냅니다. |
| additionalInfo.threatListName | security_result.threat_feed_name | 발견을 트리거한 위협 목록의 이름입니다. |
| additionalInfo.threatName | security_result.threat_name | 발견을 트리거한 위협의 이름입니다. |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 발견사항과 연결된 전체 사용자 에이전트 문자열입니다. |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| arn | target.asset.attribute .cloud.project.product_object_id |
발견 항목의 Amazon 리소스 이름 (ARN)입니다. |
| detail.accountId | principal.group.product_object_id | 문제와 연결된 AWS 계정 ID입니다. |
| detail.description | security_result.description | 발견사항에 관한 자세한 설명입니다. |
| detail.id | target.asset.attribute.cloud.project.id | 발견 항목의 고유 ID입니다. |
| detail.resource.accessKeyDetails | principal.user | 발견과 관련된 AWS 액세스 키에 관한 세부정보입니다. |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 발견과 관련된 AWS 액세스 키의 ID입니다. |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 발견과 관련된 AWS 액세스 키의 주 구성원 ID입니다. |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 발견과 관련된 AWS 액세스 키와 연결된 사용자 유형입니다. |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 발견과 관련된 AWS 액세스 키와 연결된 사용자의 이름입니다. |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 발견과 관련된 S3 버킷의 ARN입니다. |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 발견과 관련된 S3 버킷에 사용된 서버 측 암호화 유형입니다. |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 발견과 관련된 S3 버킷의 이름입니다. |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 발견과 관련된 S3 버킷의 소유자 ID입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 발견과 관련된 S3 버킷의 유효 권한입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 읽기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 읽기 액세스를 허용하는지 여부 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 발견과 관련된 S3 버킷 유형입니다. |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 발견 항목과 연결된 작업 유형입니다. |
| detail.service.action .awsApiCallAction.api |
principal.application | 발견과 관련된 AWS API 호출의 이름입니다. |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 발견과 관련된 AWS API 호출을 실행한 호출자의 유형입니다. |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 발견과 관련된 AWS API 호출과 연결된 도메인 이름입니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소의 위도입니다. |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소의 경도입니다. |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 발견과 관련된 AWS API 호출을 실행한 IP 주소입니다. |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 발견과 관련된 AWS 서비스의 이름입니다. |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS 요청이 차단되었는지 여부입니다. |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 발견과 관련된 DNS 요청과 연결된 도메인 이름입니다. |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 발견과 관련된 DNS 요청에 사용된 프로토콜입니다. |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | 네트워크 연결이 차단되었는지 여부입니다. |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 발견과 관련된 네트워크 연결의 방향입니다. |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 네트워크 연결과 관련된 로컬 IP 주소입니다. |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | 네트워크 연결과 관련된 로컬 포트입니다. |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 네트워크 연결과 관련된 로컬 포트의 이름입니다. |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 발견과 관련된 네트워크 연결에 사용된 프로토콜입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 네트워크 연결에 관여하는 원격 IP 주소와 연결된 도시 이름입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 네트워크 연결에 관여하는 원격 IP 주소와 연결된 국가 이름입니다. |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 네트워크 연결과 관련된 원격 IP 주소입니다. |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | 네트워크 연결과 관련된 원격 포트입니다. |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 네트워크 연결과 관련된 원격 포트의 이름입니다. |
| detail.service.action .portProbeAction.blocked |
security_result.action | 포트 프로브가 차단되었는지 여부입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | 프로브된 로컬 포트입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | 프로브된 로컬 포트의 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | 포트 프로브를 실행한 원격 IP 주소와 연결된 도시 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | 포트 프로브를 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 포트 프로브를 실행한 원격 IP 주소의 위도입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 포트 프로브를 실행한 원격 IP 주소의 경도입니다. |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 포트 프로브를 실행한 원격 IP 주소입니다. |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 발견을 트리거한 위협 목록의 이름입니다. |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 발견을 트리거한 위협의 이름입니다. |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 발견사항과 연결된 전체 사용자 에이전트 문자열입니다. |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
발견 항목에 대한 추가 정보입니다. |
| detail.title | security_result.summary | 발견사항의 짧은 제목입니다. |
| detail.type | metadata.product_event_type | 발견 항목 유형입니다. |
| detail.updatedAt | metadata.event_timestamp | 발견 항목이 마지막으로 업데이트된 시간입니다. |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
발견을 트리거한 이벤트 유형입니다. |
| 파티션 | target.asset.attribute .cloud.project.type |
발견이 발생한 AWS 파티션입니다. |
| resource.accessKeyDetails | principal.user | 발견과 관련된 AWS 액세스 키에 관한 세부정보입니다. |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 발견과 관련된 AWS 액세스 키의 ID입니다. |
| resource.accessKeyDetails.principalId | principal.user.userid | 발견과 관련된 AWS 액세스 키의 주 구성원 ID입니다. |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 발견과 관련된 AWS 액세스 키와 연결된 사용자 유형입니다. |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 발견과 관련된 AWS 액세스 키와 연결된 사용자의 이름입니다. |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 발견과 관련된 EC2 인스턴스의 가용성 영역입니다. |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견과 관련된 EC2 인스턴스를 실행하는 데 사용된 AMI의 설명입니다. |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
발견과 관련된 EC2 인스턴스를 실행하는 데 사용된 AMI의 ID입니다. |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 발견 항목과 관련된 EC2 인스턴스와 연결된 IAM 인스턴스 프로필의 ARN입니다. |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스와 연결된 IAM 인스턴스 프로필의 ID입니다. |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 발견과 관련된 EC2 인스턴스의 ID입니다. |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스의 상태입니다. |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스의 유형입니다. |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 발견과 관련된 EC2 인스턴스가 실행된 시간입니다. |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 비공개 DNS 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 공개 DNS 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 발견과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 공개 IP 주소입니다. |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 발견과 관련된 EC2 인스턴스와 연결된 네트워크 인터페이스의 비공개 IP 주소입니다. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 발견과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 보안 그룹의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 발견과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 보안 그룹의 이름입니다. |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 서브넷의 ID입니다. |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 발견과 관련된 EC2 인스턴스의 네트워크 인터페이스와 연결된 VPC의 ID입니다. |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 발견과 관련된 EC2 인스턴스와 연결된 Outpost의 ARN입니다. |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 발견과 관련된 EC2 인스턴스의 플랫폼입니다. |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 발견과 관련된 EC2 인스턴스와 연결된 제품 코드 유형입니다. |
| resource.instanceDetails.tags | target.asset.attribute.labels | 발견 항목과 관련된 EC2 인스턴스와 연결된 태그입니다. |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 발견과 관련된 Kubernetes 사용자의 사용자 이름입니다. |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
발견과 관련된 RDS DB 클러스터의 식별자입니다. |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 발견과 관련된 RDS DB 인스턴스의 ARN입니다. |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 발견과 관련된 RDS DB 인스턴스의 식별자입니다. |
| resource.rdsDbUserDetails.user | principal.user.userid | 발견과 관련된 RDS DB 사용자의 사용자 이름입니다. |
| resource.resourceType | target.resource.resource_subtype | 발견 항목과 관련된 리소스의 유형입니다. |
| resource.s3BucketDetails | principal.resource.attribute.labels | 발견 항목과 관련된 S3 버킷에 대한 세부정보입니다. |
| resource.s3BucketDetails.0.arn | target.resource.name | 발견과 관련된 S3 버킷의 ARN입니다. |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견 항목과 관련된 S3 버킷이 생성된 시간입니다. |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 발견과 관련된 S3 버킷에 사용된 서버 측 암호화 유형입니다. |
| resource.s3BucketDetails.0.name | target.resource.name | 발견과 관련된 S3 버킷의 이름입니다. |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 발견과 관련된 S3 버킷의 소유자 ID입니다. |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 발견과 관련된 S3 버킷의 유효 권한입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
계정에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 읽기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
액세스 제어 목록 (ACL)에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷에 공개 액세스 차단이 사용 설정되어 있는지 여부입니다. |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 읽기 액세스를 허용하는지 여부 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
버킷 정책에서 공개 쓰기 액세스를 허용하는지 여부입니다. |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
발견과 관련된 S3 버킷과 연결된 태그입니다. |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 발견과 관련된 S3 버킷 유형입니다. |
| service.action .actionType |
principal.group.attribute.labels.value | 발견 항목과 연결된 작업 유형입니다. |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견과 관련된 AWS CloudTrail 트레일의 이름입니다. |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
발견과 관련된 S3 버킷의 이름입니다. |
| service.action .awsApiCallAction.api |
principal.application | 발견과 관련된 AWS API 호출의 이름입니다. |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 발견과 관련된 AWS API 호출을 실행한 호출자의 유형입니다. |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 발견과 관련된 AWS API 호출과 연결된 도메인 이름입니다. |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 발견과 관련된 AWS API 호출과 연결된 오류 코드입니다. |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소의 위도입니다. |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 발견과 관련된 AWS API 호출을 실행한 원격 IP 주소의 경도입니다. |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 발견과 관련된 AWS API 호출을 실행한 IP 주소입니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 조직의 자율 시스템 번호 (ASN)입니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 조직의 이름입니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 인터넷 서비스 제공업체 (ISP)의 이름입니다. |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
발견과 관련된 AWS API 호출을 실행한 원격 IP 주소와 연결된 조직의 이름입니다. |
| service.action .awsApiCallAction.serviceName |
metadata.description | 발견과 관련된 AWS 서비스의 이름입니다. |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS 요청이 차단되었는지 여부입니다. |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 발견과 관련된 DNS 요청과 연결된 도메인 이름입니다. |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 발견과 관련된 DNS 요청에 사용된 프로토콜입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 발견과 관련된 Kubernetes API 호출을 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 발견과 관련된 Kubernetes API 호출을 실행한 원격 IP 주소의 위도입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 발견과 관련된 Kubernetes API 호출을 실행한 원격 IP 주소의 경도입니다. |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 발견과 관련하여 Kubernetes API 호출을 실행한 IP 주소입니다. |
| service.action .networkConnectionAction.blocked |
security_result.action | 네트워크 연결이 차단되었는지 여부입니다. |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 발견과 관련된 네트워크 연결의 방향입니다. |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 네트워크 연결과 관련된 로컬 IP 주소입니다. |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | 네트워크 연결과 관련된 로컬 포트입니다. |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 네트워크 연결과 관련된 로컬 포트의 이름입니다. |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 발견과 관련된 네트워크 연결에 사용된 프로토콜입니다. |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 네트워크 연결에 관여하는 원격 IP 주소와 연결된 도시 이름입니다. |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 네트워크 연결에 관여하는 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 네트워크 연결과 관련된 원격 IP 주소입니다. |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | 네트워크 연결과 관련된 원격 포트입니다. |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 네트워크 연결과 관련된 원격 포트의 이름입니다. |
| service.action .portProbeAction.blocked |
security_result.action | 포트 프로브가 차단되었는지 여부입니다. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | 프로브된 로컬 포트입니다. |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | 프로브된 로컬 포트의 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | 포트 프로브를 실행한 원격 IP 주소와 연결된 도시 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | 포트 프로브를 실행한 원격 IP 주소와 연결된 국가 이름입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | 포트 프로브를 실행한 원격 IP 주소의 위도입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | 포트 프로브를 실행한 원격 IP 주소의 경도입니다. |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 포트 프로브를 실행한 원격 IP 주소입니다. |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | 스캔된 포트의 샘플입니다. |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 최근에 사용된 사용자 인증 정보 목록입니다. |
| service.additionalInfo.sample | security_result.about .labels.value |
발견 항목이 샘플 발견 항목인지 여부를 나타냅니다. |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 발견을 트리거한 위협 목록의 이름입니다. |
| service.additionalInfo.threatName | security_result.threat_name | 발견을 트리거한 위협의 이름입니다. |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 발견사항과 연결된 전체 사용자 에이전트 문자열입니다. |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
발견 항목과 연결된 사용자 에이전트의 카테고리입니다. |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
발견 항목에 대한 추가 정보입니다. |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
발견사항이 보관처리되었는지 여부입니다. |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
이벤트가 발생한 횟수입니다. |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
발견 항목을 생성한 GuardDuty 감지기의 ID입니다. |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS 볼륨 스캔 중에 감지된 총 위협 수입니다. |
변경사항
2024-03-11
- 'service.action.awsApiCallAction.domainDetails.domain'이 'network.dns.questions.name'에 매핑되었습니다.
2024-03-05
- 'service.additionalInfo.value'가 'security_result.about.labels'에 매핑되었습니다.
- 'service.additionalInfo.value'가 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
- 'service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail'이 'principal.resource.attribute.labels'에 매핑되었습니다.
2024-02-26
- 버그 수정:
- 'resource.eksClusterDetails.createdAt'이 'target.resource.attribute.labels'에 매핑되었습니다.
- 'resource.s3BucketDetails.createdAt'이 'principal.resource.attribute.labels'에 매핑되었습니다.
- 'resource.eksClusterDetails.tags'가 'target.resource.attribute.labels'에 매핑되었습니다.
- 'resource.s3BucketDetails.tags'가 'principal.resource.attribute.labels'에 매핑되었습니다.
- 'type'이 ':Kubernetes' 또는 ':S3'과 유사한 경우 'resource.accessKeyDetails.accessKeyId'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'service.action.actionType'이 'AWS_API_CALL' 또는 'KUBERNETES_API_CALL'과 유사한 경우 'resource.accessKeyDetails.accessKeyId'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'service.action.actionType'이 'DNS_REQUEST'와 유사한 경우 'resource.instanceDetails.instanceId'가 'target.resource.product_object_id'에 매핑되었습니다.
2023-08-18
- 'type' 필드를 기반으로 'security_result.attack_details.tactics', 'security_result.attack_details.techniques' 필드를 매핑했습니다.
- 가능한 경우 'metadata.event_type'을 GENERIC_EVENT 대신 더 구체적인 event_types에 매핑했습니다.
- 'type' 필드를 기반으로 'target.resource.resource_subtype', 'target.resource.resource_type' 필드를 매핑했습니다.
- 'type' 값이 ':EC2'인 모든 로그 -
- 'resource.instanceDetails.instanceId'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'resource.instanceDetails.instanceType'이 'target.resource.attribute.labels'에 매핑되었습니다.
- 'resource.instanceDetails.launchTime'이 'target.resource.attribute.creation_time'에 매핑되었습니다.
- 'type' 값이 ':RDSV'인 모든 로그의 경우
- 'resource.rdsDbInstanceDetails.dbInstanceIdentifier'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'resource.rdsDbInstanceDetails.dbInstanceArn'이 'target.resource.name'에 매핑되었습니다.
- 'resource.rdsDbInstanceDetails.dbClusterIdentifier'가 'target.resource_ancestors.product_object_id'에 매핑되었습니다.
- 'resource.rdsDbUserDetails.user'가 'principal.user.userid'에 매핑되었습니다.
- 'type' 값이 ':Kubernetes'인 모든 로그의 경우
- 'resource.eksClusterDetails.arn'이 'target.resource.name'에 매핑되었습니다.
- 'type' 값이 ':Runtime'인 모든 로그의 경우
- 'resource.eksClusterDetails.arn'이 'target.resource_ancestors.name'에 매핑되었습니다.
- 'resource.instanceDetails.instanceId'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'resource.instanceDetails.instanceType'이 'target.resource.attribute.labels'에 매핑되었습니다.
- 'resource.instanceDetails.launchTime'이 'target.resource.attribute.creation_time'에 매핑되었습니다.
- 'type' 값이 ':IAMUser'인 모든 로그의 경우
- 'resource.accessKeyDetails.accessKeyId'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'resource.instanceDetails.instanceId'가 'target.resource_ancestors.product_object_id'에 매핑되었습니다.
- 'type' 값이 ':S3'인 모든 로그의 경우
- 'resource.s3BucketDetails.arn' 또는 'resource.s3BucketDetails.name'을 'target.resource.name'에 매핑했습니다.
2023-08-02
- 'resource.instanceDetails.networkInterfaces'가 비어 있으면 'metadata.event_type'이 'GENERIC_EVENT'에 매핑됩니다.
- 'detail.resource.accessKeyDetails.principalId' 또는 'resource.accessKeyDetails.principalId'가 비어 있으면 'metadata.event_type'을 'USER_RESOURCE_ACCESS'로 매핑했습니다.
2023-06-19
- '유형'에 따라 'security_result.attack_details'를 추가했습니다.
2023-02-07
- 개선 -
- 'threatdetails.threatListName'이 'security_result.threat_feed_name'에 매핑되었습니다.
- 'service.additionalInfo.threatName'이 'security_result.threat_name'에 매핑되었습니다.
- 'product_event_type'이 ['Backdoor:EC2/C&CActivity.B', 'Backdoor:EC2/C&CActivity.B!DNS', 'Trojan:EC2/BlackholeTraffic', 'Trojan:EC2/BlackholeTraffic!DNS'] 인 경우 'T1071'이 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 ['PenTest:IAMUser/KaliLinux', 'PenTest:IAMUser/ParrotLinux', 'PenTest:IAMUser/PentooLinux', 'PenTest:S3/KaliLinux', 'PenTest:S3/ParrotLinux', 'PenTest:S3/PentooLinux', 'Policy:IAMUser/RootCredentialUsage', 'UnauthorizedAccess:EC2/MaliciousIPCaller.Custom', 'UnauthorizedAccess:EC2/TorClient'] 인 경우 'T1078'이 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 'Discovery:IAMUser/AnomalousBehavior'인 경우 'T1087'이 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 'Persistence:IAMUser/AnomalousBehavior'인 경우 'T1098'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 ['UnauthorizedAccess:EC2/RDPBruteForce', 'UnauthorizedAccess:EC2/SSHBruteForce'] 인 경우 'T1110'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 ['InitialAccess:IAMUser/AnomalousBehavior', 'UnauthorizedAccess:IAMUser/MaliciousIPCaller', 'UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom', 'UnauthorizedAccess:IAMUser/TorIPCaller', 'UnauthorizedAccess:S3/MaliciousIPCaller.Custom', 'UnauthorizedAccess:S3/TorIPCaller'] 인 경우 'T1133'이 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 'Trojan:EC2/DriveBySourceTraffic!DNS'인 경우 'T1189'가 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'PrivilegeEscalation:IAMUser/AnomalousBehavior'인 경우 'T1484'가 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 ['Backdoor:EC2/Spambot', 'CryptoCurrency:EC2/BitcoinTool.B', 'CryptoCurrency:EC2/BitcoinTool.B!DNS', 'Impact:EC2/AbusedDomainRequest.Reputation', 'Impact:EC2/BitcoinDomainRequest.Reputation', 'Impact:EC2/MaliciousDomainRequest.Reputation', 'Impact:EC2/PortSweep', 'Impact:EC2/SuspiciousDomainRequest.Reputation', 'Impact:EC2/WinRMBruteForce', 'UnauthorizedAccess:EC2/TorRelay'] 인 경우 'T1496'을 'technique_label.value'에 매핑했습니다.
- 'product_event_type'이 ['Backdoor:EC2/DenialOfService.Dns', 'Backdoor:EC2/DenialOfService.Tcp', 'Backdoor:EC2/DenialOfService.Udp', 'Backdoor:EC2/DenialOfService.UdpOnTcpPorts', 'Backdoor:EC2/DenialOfService.UnusualProtocol'] 인 경우 'T1498'이 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 ['Discovery:S3/MaliciousIPCaller', 'Discovery:S3/MaliciousIPCaller.Custom', 'Discovery:S3/TorIPCaller'] 인 경우 'T1526'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B'인 경우 'T1538'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration'인 경우 'T1552'가 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'CredentialAccess:IAMUser/AnomalousBehavior'인 경우 'T1555'가 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 ['DefenseEvasion:IAMUser/AnomalousBehavior', 'Policy:S3/AccountBlockPublicAccessDisabled', 'Policy:S3/BucketAnonymousAccessGranted', 'Policy:S3/BucketBlockPublicAccessDisabled', 'Policy:S3/BucketPublicAccessGranted', 'Stealth:IAMUser/CloudTrailLoggingDisabled', 'Stealth:IAMUser/PasswordPolicyChange', 'Stealth:S3/ServerAccessLoggingDisabled'] 인 경우 'T1562'가 'technique_label.value'에 매핑됩니다.
- 'product_event_type'이 ['Impact:IAMUser/AnomalousBehavior', 'Impact:S3/MaliciousIPCaller'] 인 경우 'T1565'가 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'Trojan:EC2/PhishingDomainRequest!DNS'인 경우 'T1566'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 ['Exfiltration:IAMUser/AnomalousBehavior', 'Exfiltration:S3/MaliciousIPCaller', 'Exfiltration:S3/ObjectRead.Unusual', 'Trojan:EC2/DNSDataExfiltration', 'Trojan:EC2/DropPoint', 'Trojan:EC2/DropPoint!DNS'] 인 경우 'T1567'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 ['Trojan:EC2/DGADomainRequest.C!DNS', 'Trojan:EC2/DGADomainRequest.B'] 인 경우 'T1568'이 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 'UnauthorizedAccess:EC2/MetadataDNSRebind'인 경우 'T1580'이 'technique_label'에 매핑되었습니다.
- 'product_event_type'이 ['Recon:IAMUser/MaliciousIPCaller', 'Recon:IAMUser/MaliciousIPCaller.Custom', 'Recon:IAMUser/TorIPCaller'] 인 경우 'T1589'가 'technique_label.value'에 매핑되었습니다.
- 'product_event_type'이 ['Recon:EC2/PortProbeEMRUnprotectedPort', 'Recon:EC2/PortProbeUnprotectedPort', 'Recon:EC2/Portscan'] 인 경우 'T1595'가 'technique_label.value'에 매핑되었습니다.
- [technique_label][value] 가 ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] 인 경우 'Reconnaissance'가 'tatic_label.value'에 매핑됩니다.
- [technique_label][value] 가 ['T1583', 'T1586', 'T1584', 'T1587', 'T1585', 'T1588'] 인 경우 'ResourceDevelopment'을 'tatic_label.value'에 매핑했습니다.
- [technique_label][value] 가 ['T1189', 'T1190', 'T1133', 'T1200', 'T1566', 'T1091', 'T1195', 'T1199', 'T1078'] 인 경우 'InitialAccess'가 'tatic_label.value'에 매핑됩니다.
- [technique_label][value] 가 ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] 인 경우 '실행'을 'tatic_label.value'에 매핑했습니다.
- ['T1098', 'T1197', 'T1547', 'T1037', 'T1176', 'T1554', 'T1136', 'T1543', 'T1546', 'T1133', 'T1574', 'T1525', 'T1137', 'T1542', 'T1053', 'T1505', 'T1205', 'T1078']에 있는 경우 ['기존']이 ['tatic_label.value'] 에 매핑됩니다.
- ['T1548', 'T1134', 'T1547', 'T1037', 'T1543', 'T1484', 'T1546', 'T1068', 'T1574', 'T1055', 'T1053', 'T1078']에 있는 [technique_label][value]인 경우 'PrivilegeEscalation'이 'tatic_label.value'에 매핑됩니다.
- ['T1548', 'T1134', 'T1197', 'T1140', 'T1006', 'T1484', 'T1480', 'T1211', 'T1222', 'T1564', 'T1574', 'T1562', 'T1070', 'T1202', 'T1036', 'T1556', 'T1578', 'T1112', 'T1601', 'T1599', 'T1027', 'T1542', 'T1055', 'T1207', 'T1014', 'T1218', 'T1216', 'T1553', 'T1221', 'T1205', 'T1127', 'T1535', 'T1550', 'T1078', 'T1497', 'T1600', 'T1220']에 있는 경우 'DefenseEvasion'이 'tatic_label.value'에 매핑됩니다.
- ['T1110', 'T1555', 'T1212', 'T1187', 'T1606', 'T1056', 'T1557', 'T1556', 'T1040', 'T1003', 'T1528', 'T1558', 'T1539', 'T1111', 'T1552']에 있는 [technique_label][value]인 경우 'CredentialAccess'가 'tatic_label.value'에 매핑됩니다.
- ['T1087', 'T1010', 'T1217', 'T1580', 'T1538', 'T1526', 'T1482', 'T1083', 'T1046', 'T1135', 'T1040', 'T1201', 'T1120', 'T1069', 'T1057', 'T1012', 'T1018', 'T1518', 'T1082', 'T1016', 'T1049', 'T1033', 'T1007', 'T1124', 'T1497']에 있는 경우 'Discovery'가 'tatic_label.value'에 매핑됩니다.
- [technique_label][value] 가 ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] 인 경우 'LateralMovement'이 'tatic_label.value'에 매핑됩니다.
- ['T1560', 'T1123', 'T1119', 'T1115', 'T1530', 'T1602', 'T1213', 'T1005', 'T1039', 'T1025', 'T1074', 'T1114', 'T1056', 'T1185', 'T1557', 'T1113', 'T1125']에 있는 [technique_label][value]인 경우 '수집'이 'tatic_label.value'에 매핑됩니다.
- [technique_label][value] 가 ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] 인 경우 'CommandAndControl'이 'tatic_label.value'에 매핑됩니다.
- [technique_label][value] 가 ['T1020', 'T1030', 'T1048', 'T1041', 'T1011', 'T1052', 'T1567', 'T1029', 'T1537'] 인 경우 'Exfiltration'을 'tatic_label.value'에 매핑했습니다.
- [technique_label][value] 가 ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] 인 경우 '영향'이 'tatic_label.value'에 매핑됩니다.
2022-11-10
- 개선
- 'service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash'가 'principal.file.sha256'에 매핑되었습니다.
- 'service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath'가 'principal.file.full_path'에 매핑되었습니다.
- 'service.action.dnsRequestAction.domain'이 'network.dns.questions.name'에 매핑되었습니다.
- 'resource.kubernetesDetails.kubernetesUserDetails.username'이 'principal.user.userid'에 매핑되었습니다.
2022-09-12
- 기능 요청:
- 'IAM', 'S3', 'KUBERNETES', 'MALWARE', 'EC2' 로그 유형에 적절하게 'security_result.category', 'metadata.event_type', 'resource_type', 'resource_subtype'를 매핑했습니다.
2022-08-11
- 기능 요청:
- 'GENERIC_EVENT' 유형을 'STATUS_UPDATE' 또는 'USER_RESOURCE_ACCESS' event_type으로 대체했습니다.
2022-07-20
- 'service.resourceRole'의 매핑이 'additional.resource_role'에서 'principal.resource.attribute.roles.name'으로 변경되었습니다.
- 'service.count'의 매핑을 'additional.fields'에서 'principal.resource.attribute.label'로 변경했습니다.
- 'resource.instanceDetails.imageDescription'의 매핑을 'additional.fields'에서 'principal.resource.attribute.label'로 변경했습니다.
- 'Discovery:S3/MaliciousIPCaller', 'Policy:S3/BucketPublicAccessGranted', 'UnauthorizedAccess:S3/TorIPCaller', 'Policy:S3/BucketAnonymousAccessGranted', 'UnauthorizedAccess:EC2/TorRelay'의 'type' 값이 다음과 같은 경우:
- 'resource.instanceDetails.instanceId'를 'target.resource.product_object_id'에 매핑했습니다.
- 'resource.instanceDetails.instanceType'을 'target.resource.name'에 매핑했습니다.
2022-07-08
- 'network_interface.securityGroups.0.groupId'의 매핑을 'target.user.groupid'에서 'target.user.group_identifiers'로 수정했습니다.
2022-05-26
- 개선사항 - 다음 필드의 매핑이 수정되었습니다.
- '지역' 필드의 매핑이 'target.location.country_or_region'에서 'target.location.name'으로 변경됨
- 'resource.instanceDetails.tags[n]' 필드의 매핑이 'additional.fields[n]'에서 'target.asset.attribute.labels[n]'으로 변경되었습니다.
- 'service.action.networkConnectionAction.remoteIpDetails.country.countryName'이 'target.location.country_or_region'에 매핑되었습니다.
2022-05-27
- 개선 - metadata.product_name에 저장된 값을 'AWS GuardDuty'로, metadata.vendor_name을 'AMAZON'으로 수정했습니다.
2022-03-25
- 개선 - 포트 udm이 반복되는 필드가 아닙니다. 따라서 로그에서 많은 포트를 캡처하는 데는 적합하지 않습니다. 이 변경사항은 대신 about.port를 사용합니다.
2022-03-31
- 개선
- service.action.networkConnectionAction.localPortDetails.portName이 '알 수 없음' 값이 아니면 principal.application에 매핑됩니다.
- '태그' 필드 내 전체 목록이 키-값 필드에 매핑되었습니다.
- 'service.action.networkConnectionAction.protocol'이 network.ip_protocol에 매핑됨
- 'service.action.networkConnectionAction.blocked'가 security_result.action에 매핑되었습니다.
- 'severity'가 security_result.severity_details에 매핑됨
- service.action.actionType이 AWS_API_CALL인 경우 'accessKeyId'가 target.resource.id에 매핑됩니다.
- s3BucketDetails:
- 'arn'이 target.asset.attribute.cloud.project.product_object_id에 매핑되었습니다.
- 'name'이 target.resource.name에 매핑되었습니다.
- 'encryptionType'이 network.tls.supported_ciphers에 매핑되었습니다.
- 'owner.id가 target.resource.attribute.labels에 매핑되었습니다.
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList에서
- 'allowsPublicReadAccess'를 additional.fields 속성에 매핑했습니다.
- 'allowsPublicWriteAccess'를 additional.fields 속성에 매핑했습니다. - --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy에서 다음을 확인합니다.
- 'allowsPublicReadAccess'를 additional.fields 속성에 매핑했습니다.
- 'allowsPublicWriteAccess'를 additional.fields 속성에 매핑했습니다. - --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess에서 다음을 실행합니다.
- 'ignorePublicAcls'를 additional.fields 속성에 매핑했습니다.
- 'restrictPublicBuckets'를 additional.fields 속성에 매핑했습니다.
- 'blockPublicAcls'를 additional.fields 속성에 매핑했습니다.
- 'blockPublicPolicy'를 additional.fields 속성에 매핑했습니다. - --
- resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess 아래
- ignorePublicAcls를 additional.fields 속성에 매핑했습니다.
- 'restrictPublicBuckets'를 additional.fields 속성에 추가했습니다.
- 'blockPublicAcls'를 additional.fields 속성에 추가했습니다.
- 'blockPublicPolicy'를 additional.fields 속성에 추가했습니다.
- service.action.awsApiCallAction.remoteIpDetails.organization에서 다음을 실행합니다.
- 'asn'이 additional.fields 속성에 매핑되었습니다.
- 'asnOrg'가 additional.fields 속성에 매핑되었습니다.
- 'isp'가 additional.fields 속성에 매핑되었습니다.
- 'org'가 additional.fields 속성에 매핑되었습니다.
- service.action.awsApiCallAction.affectedResources에서 'AWS::S3::Bucket' additional.fields 속성을 매핑했습니다.
- service.action.actionType이 DNS_REQUEST인 경우 'accessKeyId'가 target.resource.id에 매핑됩니다.
- resource.instanceDetails.instanceId가 target.resource.id에 매핑됨
- resource.instanceDetails.instanceType이 target.resource.name에 매핑됨
- resource.instanceDetails.networkInterfaces.0.vpcId가 target.asset.attribute.cloud.vpc.id에 매핑되었습니다.
- resource.instanceDetails.tags의 값은 다음 필드에 매핑되었습니다.
- 키가 'ApplicationOwner'인 경우 target.user.userid
- 키가 'Application'인 경우 target.application
- 키가 'Contact'인 경우 user.email_addresses
- 키가 '이름', 'DAM_Project', 'Project' 또는 'ehc:C3Schedule'인 경우 additional.fields
- 값이 0이 아닌 경우 service.action.dnsRequestAction.protocol이 network.ip_protocol에 매핑됨
- service.action.networkConnectionAction.blocked가 security_result.action에 매핑됨
- 'severity'가 security_result.severity_details에 매핑되었습니다.