收集 AWS GuardDuty 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google 安全运营 Feed 来收集 AWS GuardDuty 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 GUARDDUTY 注入标签的解析器。
准备工作
- 确保已创建 AWS S3 存储桶。如需创建 AWS S3 存储桶,请参阅创建您的第一个 S3 存储桶。
- 确保已创建 KMS 密钥。如需创建 KMS 密钥,请参阅创建非对称 KMS 密钥。
- 确保 AWS GuardDuty 有权访问 KMS 密钥。如需授予对 KMS 密钥的访问权限,请参阅导出发现结果。GuardDuty 会使用 AWS KMS 密钥对存储桶中的发现数据进行加密。
配置 AWS GuardDuty
如需配置 AWS GuardDuty,请执行以下操作:
- 登录 AWS 控制台。
- 搜索 GuardDuty。
- 选择设置。
在查找导出选项部分中,执行以下操作:
- 从更新发现结果的频率列表中,选择每 15 分钟更新 CWE 和 S3。所选频率适用于更新后的发现结果。新发现会在创建 5 分钟后导出。
- 在 S3 存储桶部分,选择要将 GuardDuty 发现结果导出到的 S3 存储桶。
- 在日志文件前缀部分,提供日志文件前缀。
- 在 KMS 加密部分中,选择 KMS 加密。
- 从密钥别名列表中选择密钥。
- 点击保存。
将日志文件存储在 S3 存储桶中后,创建一个 SQS 队列并将其附加到 S3 存储桶。
KMS 政策示例
以下是 KMS 政策示例:
{
"Sid": "Allow GuardDuty to encrypt findings",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.AWS_REGION.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "KEY_ARN"
}
替换以下内容:
- AWS_REGION:所选区域。
- KEY_ARN:KMS 密钥的 Amazon 资源名称 (ARN)。
检查 S3、SQS 和 KMS 的必需 IAM 用户和 KMS 密钥政策。
根据服务和区域,参阅以下 AWS 文档,确定连接端点:
- 如需了解任何日志记录来源,请参阅 AWS Identity and Access Management 端点和配额。
- 如需了解 S3 日志记录源,请参阅 Amazon Simple Storage Service 端点和配额。
- 如需了解 SQS 日志记录来源,请参阅 Amazon Simple Queue Service 端点和配额。
在 Google Security Operations 中配置 Feed 以注入 AWS GuardDuty 日志
- 依次选择 SIEM 设置 > Feed。
- 点击新增。
- 为Feed 名称输入一个具有唯一性的名称。
- 选择 Amazon S3 或 Amazon SQS 作为来源类型。
- 选择 AWS GuardDuty 作为日志类型。
- 点击下一步,然后点击提交。
- Google 安全运营支持使用访问密钥 ID 和 Secret 方法收集日志。如需创建访问密钥 ID 和密钥,请参阅使用 AWS 配置工具身份验证。
根据您创建的 AWS GuardDuty 配置,为以下字段指定值。
- 如果使用 Amazon S3
- 区域
- S3 URI
- URI 是
- 来源删除选项
- 如果使用 Amazon SQS
- 区域
- 队列名称
- 账号
- 队列访问密钥 ID
- 队列私有访问密钥
- 来源删除选项
点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系
字段映射参考文档
此解析器代码会以 JSON 格式处理 AWS GuardDuty 发现结果,提取相关字段并将其映射到统一数据模型 (UDM)。它会执行数据转换(包括字符串替换、合并数组和转换数据类型),以便创建安全事件的结构化表示法,以进行分析和关联。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accountId | principal.group.product_object_id | 与相应问题相关联的 AWS 账号 ID。 |
| additionalInfo.portsScannedSample | event.idm.read_only_udm.about.port | 端口扫描期间扫描的端口列表。 |
| additionalInfo.sample | security_result.about.labels.value | 指示相应发现结果是否为示例发现结果。 |
| additionalInfo.threatListName | security_result.threat_feed_name | 触发相应发现的威胁列表的名称。 |
| additionalInfo.threatName | security_result.threat_name | 触发发现结果的威胁的名称。 |
| additionalInfo.userAgent .fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| additionalInfo.userAgent .userAgentCategory |
security_result.detection_fields.value | 与发现结果关联的用户代理的类别。 |
| arn | target.asset.attribute .cloud.project.product_object_id |
相应发现的 Amazon 资源名称 (ARN)。 |
| detail.accountId | principal.group.product_object_id | 与相应问题相关联的 AWS 账号 ID。 |
| detail.description | security_result.description | 对相应发现结果的详细说明。 |
| detail.id | target.asset.attribute.cloud.project.id | 相应检测结果的唯一 ID。 |
| detail.resource.accessKeyDetails | principal.user | 与发现结果相关的 AWS 访问密钥的详细信息。 |
| detail.resource.accessKeyDetails .accessKeyId |
principal.user.userid | 相关发现中涉及的 AWS 访问密钥的 ID。 |
| detail.resource.accessKeyDetails .principalId |
principal.user.userid | 相关发现中涉及的 AWS 访问密钥的主账号 ID。 |
| detail.resource.accessKeyDetails .userType |
principal.user.attribute.roles.name | 与发现中涉及的 AWS 访问密钥关联的用户类型。 |
| detail.resource.accessKeyDetails .userName |
principal.user.user_display_name | 与发现结果中涉及的 AWS 访问密钥关联的用户的名称。 |
| detail.resource.s3BucketDetails .0.arn |
target.resource.name | 发现结果中涉及的 S3 存储桶的 ARN。 |
| detail.resource.s3BucketDetails .0.defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 与相应发现相关的 S3 存储桶使用的服务器端加密类型。 |
| detail.resource.s3BucketDetails .0.name |
target.resource.name | 发现结果中涉及的 S3 存储桶的名称。 |
| detail.resource.s3BucketDetails .0.owner.id |
target.resource.attribute.labels.value | 涉及发现结果的 S3 存储桶的所有者的 ID。 |
| detail.resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 发现中涉及的 S3 存储桶的有效权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开读取权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开写入访问权限。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开读取访问。 |
| detail.resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开写入访问。 |
| detail.resource.s3BucketDetails .0.type |
target.resource.attribute.labels.value | 发现结果涉及的 S3 存储桶的类型。 |
| detail.service.action .actionType |
principal.group.attribute.labels.value | 与相应发现结果关联的操作类型。 |
| detail.service.action .awsApiCallAction.api |
principal.application | 发现结果中涉及的 AWS API 调用的名称。 |
| detail.service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 发出导致发现问题的 AWS API 调用的调用方的类型。 |
| detail.service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 与发现结果中涉及的 AWS API 调用关联的域名。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.country.countryName |
target.location.country_or_region | 与执行了相关发现所涉及的 AWS API 调用的远程 IP 地址关联的国家/地区名称。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 发出相关发现所涉及 AWS API 调用的远程 IP 地址的纬度。 |
| detail.service.action.awsApiCallAction .remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 发出相关发现所涉及 AWS API 调用的远程 IP 地址的经度。 |
| detail.service.action .awsApiCallAction.remoteIpDetails.ipAddressV4 |
target.ip | 发出发现结果中涉及的 AWS API 调用的 IP 地址。 |
| detail.service.action .awsApiCallAction.serviceName |
metadata.description | 发现中涉及的 AWS 服务的名称。 |
| detail.service.action .dnsRequestAction.blocked |
security_result.action | DNS 请求是否被屏蔽。 |
| detail.service.action .dnsRequestAction.domain |
principal.administrative_domain | 与发现结果中涉及的 DNS 请求关联的域名。 |
| detail.service.action .dnsRequestAction.protocol |
network.ip_protocol | 发现中涉及的 DNS 请求所使用的协议。 |
| detail.service.action .networkConnectionAction.blocked |
security_result.action | 网络连接是否被屏蔽。 |
| detail.service.action .networkConnectionAction.connectionDirection |
network.direction | 发现结果涉及的网络连接的方向。 |
| detail.service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 网络连接中涉及的本地 IP 地址。 |
| detail.service.action .networkConnectionAction.localPortDetails .port |
principal.port | 网络连接中涉及的本地端口。 |
| detail.service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 网络连接中涉及的本地端口的名称。 |
| detail.service.action .networkConnectionAction.protocol |
network.ip_protocol | 发现中涉及的网络连接所使用的协议。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 与网络连接中涉及的远程 IP 地址关联的城市名称。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与网络连接中涉及的远程 IP 地址关联的国家/地区名称。 |
| detail.service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 网络连接中涉及的远程 IP 地址。 |
| detail.service.action .networkConnectionAction.remotePortDetails .port |
target.port | 网络连接中涉及的远程端口。 |
| detail.service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 网络连接中涉及的远程端口的名称。 |
| detail.service.action .portProbeAction.blocked |
security_result.action | 端口探测是否被屏蔽。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.port |
target.port | 被探测的本地端口。 |
| detail.service.action .portProbeAction.portProbeDetails .0.localPortDetails.portName |
principal.application | 被探测的本地端口的名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.city.cityName |
target.location.city | 与执行端口探测的远程 IP 地址关联的城市名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.country.countryName |
target.location.country_or_region | 与执行端口探测的远程 IP 地址关联的国家/地区名称。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lat |
target.location.region_latitude | 执行端口探测的远程 IP 地址的纬度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.geoLocation.lon |
target.location.region_longitude | 执行端口探测的远程 IP 地址的经度。 |
| detail.service.action .portProbeAction.portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 执行端口探测的远程 IP 地址。 |
| detail.service.additionalInfo .threatListName |
security_result.threat_feed_name | 触发相应发现的威胁列表的名称。 |
| detail.service.additionalInfo .threatName |
security_result.threat_name | 触发相应发现结果的威胁的名称。 |
| detail.service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| detail.service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields.value | 与发现结果关联的用户代理的类别。 |
| detail.service.additionalInfo .value |
security_result.about .resource.attribute.labels.value |
有关相应发现的其他信息。 |
| detail.title | security_result.summary | 相应发现的简短标题。 |
| detail.type | metadata.product_event_type | 发现结果的类型。 |
| detail.updatedAt | metadata.event_timestamp | 上次更新发现结果的时间。 |
| detail-type | event.idm.read_only_udm .additional.fields.value.string_value |
触发发现结果的事件类型。 |
| partition | target.asset.attribute .cloud.project.type |
发现问题时所处的 AWS 分区。 |
| resource.accessKeyDetails | principal.user | 与发现结果相关的 AWS 访问密钥的详细信息。 |
| resource.accessKeyDetails.accessKeyId | principal.user.userid | 相关发现中涉及的 AWS 访问密钥的 ID。 |
| resource.accessKeyDetails.principalId | principal.user.userid | 相关发现中涉及的 AWS 访问密钥的主账号 ID。 |
| resource.accessKeyDetails.userType | principal.user.attribute.roles.name | 与发现中涉及的 AWS 访问密钥关联的用户类型。 |
| resource.accessKeyDetails.userName | principal.user.user_display_name | 与发现结果中涉及的 AWS 访问密钥关联的用户的名称。 |
| resource.instanceDetails.availabilityZone | target.asset.attribute.cloud.availability_zone | 发现中涉及的 EC2 实例的可用区。 |
| resource.instanceDetails.imageDescription | event.idm.read_only_udm .principal.resource.attribute.labels.value |
用于启动发现中涉及的 EC2 实例的 AMI 的说明。 |
| resource.instanceDetails.imageId | event.idm.read_only_udm .additional.fields.value.string_value |
用于启动发现中涉及的 EC2 实例的 AMI 的 ID。 |
| resource.instanceDetails .iamInstanceProfile.arn |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 IAM 实例配置文件的 ARN。 |
| resource.instanceDetails .iamInstanceProfile.id |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 IAM 实例配置文件的 ID。 |
| resource.instanceDetails.instanceId | target.resource.product_object_id | 发现结果涉及的 EC2 实例的 ID。 |
| resource.instanceDetails.instanceState | target.resource.attribute.labels.value | 发现结果中涉及的 EC2 实例的状态。 |
| resource.instanceDetails.instanceType | target.resource.attribute.labels.value | 发现结果涉及的 EC2 实例的类型。 |
| resource.instanceDetails .launchTime |
target.resource.attribute.creation_time | 发现结果中涉及的 EC2 实例的启动时间。 |
| resource.instanceDetails .networkInterfaces.0.networkInterfaceId |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的网络接口的 ID。 |
| resource.instanceDetails .networkInterfaces.0.privateDnsName |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的网络接口的专用 DNS 名称。 |
| resource.instanceDetails .networkInterfaces.0.publicDnsName |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的网络接口的公共 DNS 名称。 |
| resource.instanceDetails .networkInterfaces.0.publicIp |
principal.ip | 与发现结果中涉及的 EC2 实例关联的网络接口的公共 IP 地址。 |
| resource.instanceDetails .networkInterfaces.0.privateIpAddress |
principal.ip | 与发现中涉及的 EC2 实例关联的网络接口的专用 IP 地址。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupId |
target.user.group_identifiers | 与发现结果中涉及的 EC2 实例的网络接口关联的安全群组的 ID。 |
| resource.instanceDetails .networkInterfaces.0.securityGroups .0.groupName |
target.user.group_identifiers | 与发现结果中涉及的 EC2 实例的网络接口关联的安全群组的名称。 |
| resource.instanceDetails .networkInterfaces.0.subnetId |
target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例的网络接口相关联的子网的 ID。 |
| resource.instanceDetails .networkInterfaces.0.vpcId |
target.asset.attribute.cloud.vpc.id | 与发现中涉及的 EC2 实例的网络接口关联的 VPC 的 ID。 |
| resource.instanceDetails.outpostArn | target.resource.attribute.labels.value | 与发现结果中涉及的 EC2 实例关联的 Outpost 的 ARN。 |
| resource.instanceDetails.platform | target.asset.platform_software.platform_version | 发现中涉及的 EC2 实例的平台。 |
| resource.instanceDetails .productCodes.0.productCodeType |
target.resource.type | 与发现中涉及的 EC2 实例关联的产品代码类型。 |
| resource.instanceDetails.tags | target.asset.attribute.labels | 与发现结果中涉及的 EC2 实例关联的标记。 |
| resource.kubernetesDetails .kubernetesUserDetails.username |
principal.user.userid | 涉及该发现的 Kubernetes 用户的用户名。 |
| resource.rdsDbInstanceDetails .dbClusterIdentifier |
event.idm.read_only_udm .target.resource_ancestors.product_object_id |
发现结果中涉及的 RDS 数据库集群的标识符。 |
| resource.rdsDbInstanceDetails .dbInstanceArn |
target.resource.name | 发现结果涉及的 RDS 数据库实例的 ARN。 |
| resource.rdsDbInstanceDetails .dbInstanceIdentifier |
target.resource.product_object_id | 发现结果中涉及的 RDS 数据库实例的标识符。 |
| resource.rdsDbUserDetails.user | principal.user.userid | 涉及到相应发现的 RDS 数据库用户的用户名。 |
| resource.resourceType | target.resource.resource_subtype | 相应发现涉及的资源类型。 |
| resource.s3BucketDetails | principal.resource.attribute.labels | 与发现结果相关的 S3 存储桶的详细信息。 |
| resource.s3BucketDetails.0.arn | target.resource.name | 发现结果中涉及的 S3 存储桶的 ARN。 |
| resource.s3BucketDetails.0.createdAt | event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 S3 存储桶的创建时间。 |
| resource.s3BucketDetails.0 .defaultServerSideEncryption.encryptionType |
network.tls.client.supported_ciphers | 与相应发现相关的 S3 存储桶使用的服务器端加密类型。 |
| resource.s3BucketDetails.0.name | target.resource.name | 发现结果中涉及的 S3 存储桶的名称。 |
| resource.s3BucketDetails.0.owner.id | target.resource.attribute.labels.value | 涉及发现结果的 S3 存储桶所有者的 ID。 |
| resource.s3BucketDetails .0.publicAccess.effectivePermission |
target.resource.attribute.labels.value | 发现中涉及的 S3 存储桶的有效权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .accountLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
账号是否启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开读取访问权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.accessControlList .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
访问权限控制列表 (ACL) 是否允许公开写入访问权限。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .blockPublicPolicy |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .ignorePublicAcls |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.blockPublicAccess .restrictPublicBuckets |
event.idm.read_only_udm .additional.fields.value.bool_value |
是否为存储桶启用了公开访问屏蔽功能。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicReadAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开读取访问。 |
| resource.s3BucketDetails .0.publicAccess.permissionConfiguration .bucketLevelPermissions.bucketPolicy .allowsPublicWriteAccess |
event.idm.read_only_udm .additional.fields.value.bool_value |
存储桶政策是否允许公开写入访问。 |
| resource.s3BucketDetails.0.tags | event.idm.read_only_udm .principal.resource.attribute.labels |
与发现结果中涉及的 S3 存储桶关联的标记。 |
| resource.s3BucketDetails.0.type | target.resource.attribute.labels.value | 发现结果涉及的 S3 存储桶的类型。 |
| service.action .actionType |
principal.group.attribute.labels.value | 与相应发现结果关联的操作类型。 |
| service.action .awsApiCallAction.affectedResources .AWS_CloudTrail_Trail |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 AWS CloudTrail 轨迹的名称。 |
| service.action .awsApiCallAction.affectedResources .AWS_S3_Bucket |
event.idm.read_only_udm .principal.resource.attribute.labels.value |
发现结果中涉及的 S3 存储桶的名称。 |
| service.action .awsApiCallAction.api |
principal.application | 发现结果中涉及的 AWS API 调用的名称。 |
| service.action .awsApiCallAction.callerType |
principal.group.attribute.labels.value | 发出导致发现问题的 AWS API 调用的调用方的类型。 |
| service.action .awsApiCallAction.domainDetails.domain |
network.dns.questions.name | 与发现结果中涉及的 AWS API 调用关联的域名。 |
| service.action .awsApiCallAction.errorCode |
security_result.rule_type | 与发现中涉及的 AWS API 调用相关联的错误代码。 |
| service.action .awsApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与执行了相关发现所涉及的 AWS API 调用的远程 IP 地址关联的国家/地区名称。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 发出相关发现所涉及 AWS API 调用的远程 IP 地址的纬度。 |
| service.action .awsApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 发出相关发现所涉及 AWS API 调用的远程 IP 地址的经度。 |
| service.action .awsApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 发出发现结果中涉及的 AWS API 调用的 IP 地址。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asn |
event.idm.read_only_udm .additional.fields.value.string_value |
与发出相关发现所涉及 AWS API 调用的远程 IP 地址关联的组织的自治系统编号 (ASN)。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.asnOrg |
event.idm.read_only_udm .additional.fields.value.string_value |
与执行了发现结果所涉及的 AWS API 调用的远程 IP 地址关联的组织的名称。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.isp |
event.idm.read_only_udm .additional.fields.value.string_value |
与发出相关发现中所涉及 AWS API 调用的远程 IP 地址关联的互联网服务提供商 (ISP) 的名称。 |
| service.action .awsApiCallAction.remoteIpDetails .organization.org |
event.idm.read_only_udm .additional.fields.value.string_value |
与执行了发现结果所涉及的 AWS API 调用的远程 IP 地址关联的组织的名称。 |
| service.action .awsApiCallAction.serviceName |
metadata.description | 发现中涉及的 AWS 服务的名称。 |
| service.action .dnsRequestAction.blocked |
security_result.action | DNS 请求是否被屏蔽。 |
| service.action .dnsRequestAction.domain |
principal.administrative_domain | 与发现结果中涉及的 DNS 请求关联的域名。 |
| service.action .dnsRequestAction.protocol |
network.ip_protocol | 发现中涉及的 DNS 请求所使用的协议。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与发出发现结果中涉及的 Kubernetes API 调用的远程 IP 地址关联的国家/地区名称。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lat |
target.location.region_latitude | 发出相关发现所涉及 Kubernetes API 调用的远程 IP 地址的纬度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .geoLocation.lon |
target.location.region_longitude | 发出相关发现所涉及 Kubernetes API 调用的远程 IP 地址的经度。 |
| service.action .kubernetesApiCallAction.remoteIpDetails .ipAddressV4 |
target.ip | 发出相关发现所涉及 Kubernetes API 调用的 IP 地址。 |
| service.action .networkConnectionAction.blocked |
security_result.action | 网络连接是否被屏蔽。 |
| service.action .networkConnectionAction.connectionDirection |
network.direction | 发现结果涉及的网络连接的方向。 |
| service.action .networkConnectionAction.localIpDetails .ipAddressV4 |
principal.ip | 网络连接中涉及的本地 IP 地址。 |
| service.action .networkConnectionAction.localPortDetails .port |
principal.port | 网络连接中涉及的本地端口。 |
| service.action .networkConnectionAction.localPortDetails .portName |
principal.application | 网络连接中涉及的本地端口的名称。 |
| service.action .networkConnectionAction.protocol |
network.ip_protocol | 发现中涉及的网络连接所使用的协议。 |
| service.action .networkConnectionAction.remoteIpDetails .city.cityName |
target.location.city | 与网络连接中涉及的远程 IP 地址关联的城市名称。 |
| service.action .networkConnectionAction.remoteIpDetails .country.countryName |
target.location.country_or_region | 与网络连接中涉及的远程 IP 地址关联的国家/地区名称。 |
| service.action .networkConnectionAction.remoteIpDetails .ipAddressV4 |
target.ip | 网络连接中涉及的远程 IP 地址。 |
| service.action .networkConnectionAction.remotePortDetails .port |
target.port | 网络连接中涉及的远程端口。 |
| service.action .networkConnectionAction.remotePortDetails .portName |
target.application | 网络连接中涉及的远程端口的名称。 |
| service.action .portProbeAction.blocked |
security_result.action | 端口探测是否被屏蔽。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.port |
target.port | 被探测的本地端口。 |
| service.action.portProbeAction .portProbeDetails .0.localPortDetails.portName |
principal.application | 被探测的本地端口的名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.city .cityName |
target.location.city | 与执行端口探测的远程 IP 地址关联的城市名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.country .countryName |
target.location.country_or_region | 与执行端口探测的远程 IP 地址关联的国家/地区名称。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lat |
target.location.region_latitude | 执行端口探测的远程 IP 地址的纬度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.geoLocation .lon |
target.location.region_longitude | 执行端口探测的远程 IP 地址的经度。 |
| service.action.portProbeAction .portProbeDetails .0.remoteIpDetails.ipAddressV4 |
target.ip | 执行端口探测的远程 IP 地址。 |
| service.additionalInfo .portsScannedSample |
event.idm.read_only_udm.about.port | 已扫描的端口示例。 |
| service.additionalInfo .recentCredentials |
event.idm.read_only_udm.intermediary | 最近使用的凭据列表。 |
| service.additionalInfo.sample | security_result.about .labels.value |
指示相应发现结果是否为示例发现结果。 |
| service.additionalInfo.threatListName | security_result.threat_feed_name | 触发相应发现的威胁列表的名称。 |
| service.additionalInfo.threatName | security_result.threat_name | 触发相应发现结果的威胁的名称。 |
| service.additionalInfo .userAgent.fullUserAgent |
network.http.user_agent | 与发现结果关联的完整用户代理字符串。 |
| service.additionalInfo .userAgent.userAgentCategory |
security_result.detection_fields .value |
与发现结果关联的用户代理的类别。 |
| service.additionalInfo.value | security_result.about .resource.attribute.labels.value |
有关相应发现的其他信息。 |
| service.archived | event.idm.read_only_udm .additional.fields.value.bool_value |
相应发现是否已归档。 |
| service.count | event.idm.read_only_udm .principal.resource.attribute.labels.value |
事件发生的次数。 |
| service.detectorId | event.idm.read_only_udm .additional.fields.value.string_value |
生成相应发现结果的 GuardDuty 检测器的 ID。 |
| service.ebsVolumeScanDetails .scanDetections .threatDetectedByName.itemCount |
EBS 卷扫描期间检测到的威胁总数。 |
变化
2024-03-11
- 将“service.action.awsApiCallAction.domainDetails.domain”映射到“network.dns.questions.name”。
2024-03-05
- 将“service.additionalInfo.value”映射到“security_result.about.labels”。
- 将“service.additionalInfo.value”映射到“security_result.about.resource.attribute.labels”。
- 将“service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail”映射到“principal.resource.attribute.labels”。
2024-02-26
- bug 修复:
- 将“resource.eksClusterDetails.createdAt”映射到“target.resource.attribute.labels”。
- 将“resource.s3BucketDetails.createdAt”映射到“principal.resource.attribute.labels”。
- 将“resource.eksClusterDetails.tags”映射到“target.resource.attribute.labels”。
- 将“resource.s3BucketDetails.tags”映射到“principal.resource.attribute.labels”。
- 如果“type”类似于“:Kubernetes”或“:S3”,则将“resource.accessKeyDetails.accessKeyId”映射到“target.resource.product_object_id”。
- 如果“service.action.actionType”类似于“AWS_API_CALL”或“KUBERNETES_API_CALL”,则将“resource.accessKeyDetails.accessKeyId”映射到“target.resource.product_object_id”。
- 如果“service.action.actionType”与“DNS_REQUEST”类似,则将“resource.instanceDetails.instanceId”映射到“target.resource.product_object_id”。
2023-08-18
- 根据字段“type”映射了字段“security_result.attack_details.tactics”“security_result.attack_details.techniques”。
- 尽可能将“metadata.event_type”映射到更具体的 event_type,而不是 GENERIC_EVENT。
- 基于“type”字段映射的字段“target.resource.resource_subtype”“target.resource.resource_type”。
- 对于“type”值为“:EC2”的所有日志:
- 将“resource.instanceDetails.instanceId”映射到“target.resource.product_object_id”。
- 将“resource.instanceDetails.instanceType”映射到“target.resource.attribute.labels”。
- 将“resource.instanceDetails.launchTime”映射到“target.resource.attribute.creation_time”。
- 对于“type”值为“:RDSV”的所有日志:
- 将“resource.rdsDbInstanceDetails.dbInstanceIdentifier”映射到“target.resource.product_object_id”。
- 将“resource.rdsDbInstanceDetails.dbInstanceArn”映射到“target.resource.name”。
- 将“resource.rdsDbInstanceDetails.dbClusterIdentifier”映射到“target.resource_ancestors.product_object_id”。
- 将“resource.rdsDbUserDetails.user”映射到“principal.user.userid”。
- 对于“type”值为“:Kubernetes”的所有日志:
- 将“resource.eksClusterDetails.arn”映射到“target.resource.name”。
- 对于“type”值为“:Runtime”的所有日志:
- 将“resource.eksClusterDetails.arn”映射到“target.resource_ancestors.name”。
- 将“resource.instanceDetails.instanceId”映射到“target.resource.product_object_id”。
- 将“resource.instanceDetails.instanceType”映射到“target.resource.attribute.labels”。
- 将“resource.instanceDetails.launchTime”映射到“target.resource.attribute.creation_time”。
- 对于“type”值为“:IAMUser”的所有日志:
- 将“resource.accessKeyDetails.accessKeyId”映射到“target.resource.product_object_id”。
- 将“resource.instanceDetails.instanceId”映射到“target.resource_ancestors.product_object_id”。
- 对于“type”值为“:S3”的所有日志:
- 将“resource.s3BucketDetails.arn”或“resource.s3BucketDetails.name”映射到“target.resource.name”。
2023-08-02
- 如果“resource.instanceDetails.networkInterfaces”为空,则将“metadata.event_type”映射到“GENERIC_EVENT”。
- 如果“detail.resource.accessKeyDetails.principalId”或“resource.accessKeyDetails.principalId”为空,则将“metadata.event_type”映射到“USER_RESOURCE_ACCESS”。
2023-06-19
- 根据“type”添加了“security_result.attack_details”。
2023-02-07
- 增强功能 -
- 将“threatdetails.threatListName”映射到“security_result.threat_feed_name”。
- 将“service.additionalInfo.threatName”映射到“security_result.threat_name”。
- 如果“product_event_type”属于 [“Backdoor:EC2/C&CActivity.B”“Backdoor:EC2/C&CActivity.B!DNS”“Trojan:EC2/BlackholeTraffic”“Trojan:EC2/BlackholeTraffic!DNS”],则将“T1071”映射到“technique_label.value”。
- 如果“product_event_type”属于以下任一类型,则将“T1078”映射到“technique_label.value”:[“PenTest:IAMUser/KaliLinux”“PenTest:IAMUser/ParrotLinux”“PenTest:IAMUser/PentooLinux”“PenTest:S3/KaliLinux”“PenTest:S3/ParrotLinux”“PenTest:S3/PentooLinux”“Policy:IAMUser/RootCredentialUsage”“UnauthorizedAccess:EC2/MaliciousIPCaller.Custom”“UnauthorizedAccess:EC2/TorClient”]。
- 如果“product_event_type”为“Discovery:IAMUser/AnomalousBehavior”,则将“T1087”映射到“technique_label.value”。
- 如果“product_event_type”为“Persistence:IAMUser/AnomalousBehavior”,则将“T1098”映射到“technique_label.value”。
- 如果“product_event_type”在 [“UnauthorizedAccess:EC2/RDPBruteForce”“UnauthorizedAccess:EC2/SSHBruteForce”] 中,则将“T1110”映射到“technique_label.value”。
- 如果“product_event_type”属于以下各项之一,则将“T1133”映射到“technique_label.value”:[“InitialAccess:IAMUser/AnomalousBehavior”“UnauthorizedAccess:IAMUser/MaliciousIPCaller”“UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom”“UnauthorizedAccess:IAMUser/TorIPCaller”“UnauthorizedAccess:S3/MaliciousIPCaller.Custom”“UnauthorizedAccess:S3/TorIPCaller”]。
- 如果“product_event_type”为“Trojan:EC2/DriveBySourceTraffic!DNS”,则将“T1189”映射到“technique_label.value”。
- 如果“product_event_type”为“PrivilegeEscalation:IAMUser/AnomalousBehavior”,则将“T1484”映射到“technique_label.value”。
- 如果“product_event_type”在 [“Backdoor:EC2/Spambot”“CryptoCurrency:EC2/BitcoinTool.B”“CryptoCurrency:EC2/BitcoinTool.B!DNS”“Impact:EC2/AbusedDomainRequest.Reputation”“Impact:EC2/BitcoinDomainRequest.Reputation”“Impact:EC2/MaliciousDomainRequest.Reputation”“Impact:EC2/PortSweep”“Impact:EC2/SuspiciousDomainRequest.Reputation”“Impact:EC2/WinRMBruteForce”“UnauthorizedAccess:EC2/TorRelay”] 中,则将“T1496”映射到“technique_label.value”。
- 如果“product_event_type”属于 [“Backdoor:EC2/DenialOfService.Dns”“Backdoor:EC2/DenialOfService.Tcp”“Backdoor:EC2/DenialOfService.Udp”“Backdoor:EC2/DenialOfService.UdpOnTcpPorts”“Backdoor:EC2/DenialOfService.UnusualProtocol”],则将“T1498”映射到“technique_label.value”。
- 如果“product_event_type”属于 [“Discovery:S3/MaliciousIPCaller”“Discovery:S3/MaliciousIPCaller.Custom”“Discovery:S3/TorIPCaller”],则将“T1526”映射到“technique_label.value”。
- 如果“product_event_type”为“UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B”,则将“T1538”映射到“technique_label.value”。
- 如果“product_event_type”为“UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration”,则将“T1552”映射到“technique_label.value”。
- 如果“product_event_type”为“CredentialAccess:IAMUser/AnomalousBehavior”,则将“T1555”映射到“technique_label.value”。
- 如果“product_event_type”属于以下任一类型,则将“T1562”映射到“technique_label.value”:[“DefenseEvasion:IAMUser/AnomalousBehavior”“Policy:S3/AccountBlockPublicAccessDisabled”“Policy:S3/BucketAnonymousAccessGranted”“Policy:S3/BucketBlockPublicAccessDisabled”“Policy:S3/BucketPublicAccessGranted”“Stealth:IAMUser/CloudTrailLoggingDisabled”“Stealth:IAMUser/PasswordPolicyChange”“Stealth:S3/ServerAccessLoggingDisabled”]。
- 如果“product_event_type”在 [“Impact:IAMUser/AnomalousBehavior”“Impact:S3/MaliciousIPCaller”] 中,则将“T1565”映射到“technique_label.value”。
- 如果“product_event_type”为“Trojan:EC2/PhishingDomainRequest!DNS”,则将“T1566”映射到“technique_label.value”。
- 如果“product_event_type”属于以下各项之一,则将“T1567”映射到“technique_label.value”:[“Exfiltration:IAMUser/AnomalousBehavior”“Exfiltration:S3/MaliciousIPCaller”“Exfiltration:S3/ObjectRead.Unusual”“Trojan:EC2/DNSDataExfiltration”“Trojan:EC2/DropPoint”“Trojan:EC2/DropPoint!DNS”]。
- 如果“product_event_type”在 [“Trojan:EC2/DGADomainRequest.C!DNS”“Trojan:EC2/DGADomainRequest.B”] 中,则将“T1568”映射到“technique_label.value”。
- 如果“product_event_type”为“UnauthorizedAccess:EC2/MetadataDNSRebind”,则将“T1580”映射到“technique_label”。
- 如果“product_event_type”属于 [“Recon:IAMUser/MaliciousIPCaller”“Recon:IAMUser/MaliciousIPCaller.Custom”“Recon:IAMUser/TorIPCaller”],则将“T1589”映射到“technique_label.value”。
- 如果“product_event_type”在 [“Recon:EC2/PortProbeEMRUnprotectedPort”“Recon:EC2/PortProbeUnprotectedPort”“Recon:EC2/Portscan”] 中,则将“T1595”映射到“technique_label.value”。
- 如果 [technique_label][value] 在 ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] 中,则将“Reconnaissance”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] 中,则将“ResourceDevelopment”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] 中,则将“InitialAccess”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] 中,则将“执行”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] 中,则将“Persistence”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] 中,则将“PrivilegeEscalation”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] 中,则将“DefenseEvasion”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] 中,则将“CredentialAccess”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] 中,则将“发现”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] 中,则将“LateralMovement”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] 中,则将“合集”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] 中,则将“CommandAndControl”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] 中,则将“渗漏”映射到“tatic_label.value”。
- 如果 [technique_label][value] 在 ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] 中,则将“影响”映射到“tatic_label.value”。
2022-11-10
- 改进
- 将“service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash”映射到“principal.file.sha256”。
- 将“service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath”映射到“principal.file.full_path”。
- 将“service.action.dnsRequestAction.domain”映射到“network.dns.questions.name”。
- 将“resource.kubernetesDetails.kubernetesUserDetails.username”映射到“principal.user.userid”。
2022-09-12
- 功能请求:
- 针对日志类型(“IAM”“S3”“KUBERNETES”“MALWARE”“EC2”)适当地映射了“security_result.category”“metadata.event_type”“resource_type”“resource_subtype”。
2022-08-11
- 功能请求:
- 将“GENERIC_EVENT”类型替换为“STATUS_UPDATE”或“USER_RESOURCE_ACCESS”event_type。
2022-07-20
- 将“service.resourceRole”的映射从“additional.resource_role”更改为“principal.resource.attribute.roles.name”。
- 将“service.count”的映射从“additional.fields”更改为“principal.resource.attribute.label”
- 将“resource.instanceDetails.imageDescription”的映射从“additional.fields”更改为“principal.resource.attribute.label”
- if "type" value in "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
- 将“resource.instanceDetails.instanceId”映射到“target.resource.product_object_id”
- 将“resource.instanceDetails.instanceType”映射到“target.resource.name”
2022-07-08
- 将“network_interface.securityGroups.0.groupId”的映射从“target.user.groupid”更改为“target.user.group_identifiers”。
2022-05-26
- 增强功能 - 修改了以下字段的映射
- 将“区域”字段的映射从“target.location.country_or_region”更改为“target.location.name”
- 将字段“resource.instanceDetails.tags[n]”的映射从“additional.fields[n]”更改为“target.asset.attribute.labels[n]”
- “service.action.networkConnectionAction.remoteIpDetails.country.countryName”映射到“target.location.country_or_region”
2022-05-27
- 增强功能 - 将 metadata.product_name 中存储的值修改为“AWS GuardDuty”,将 metadata.vendor_name 修改为“AMAZON”。
2022-03-25
- 增强功能 - 充电桩 udm 不是重复字段。因此,不适合从日志中捕获大量端口。此更改改用 about.port。
2022-03-31
- 改进
- 如果 service.action.networkConnectionAction.localPortDetails.portName 不是映射到 principal.application 的“未知”值。
- 将“tags”字段中的整个列表映射到键值对字段。
- “service.action.networkConnectionAction.protocol”映射到 network.ip_protocol
- “service.action.networkConnectionAction.blocked”已映射到 security_result.action
- “severity”映射到 security_result.severity_details
- 如果 service.action.actionType 为 AWS_API_CALL,则“accessKeyId”会映射到 target.resource.id。
- 在 s3BucketDetails 中:
- “arn”已映射到 target.asset.attribute.cloud.project.product_object_id。
- “name”已映射到 target.resource.name。
- “encryptionType”已映射到 network.tls.supported_ciphers。
- “owner.id 已映射到 target.resource.attribute.labels。
- 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList 下:
- 将“allowsPublicReadAccess”映射到 additional.fields 属性。
- 将“allowsPublicWriteAccess”映射到了 additional.fields 属性。 - --
- 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy 下:
- 将“allowsPublicReadAccess”映射到 additional.fields 属性。
- 将“allowsPublicWriteAccess”映射到了 additional.fields 属性。 - --
- 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess 下:
- 将“ignorePublicAcls”映射到了 additional.fields 属性。
- 将“restrictPublicBuckets”映射到了 additional.fields 属性。
- 将“blockPublicAcls”映射到了 additional.fields 属性。
- 将“blockPublicPolicy”映射到了 additional.fields 属性。 - --
- 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess 下
- 将 ignorePublicAcls 映射到了 additional.fields 属性。
- 将“restrictPublicBuckets”添加到 additional.fields 属性。
- 将“blockPublicAcls”添加到 additional.fields 属性。
- 将“blockPublicPolicy”添加到 additional.fields 属性。
- 在 service.action.awsApiCallAction.remoteIpDetails.organization 下:
- “asn”已映射到 additional.fields 属性。
- “asnOrg”已映射到 additional.fields 属性。
- “isp”已映射到 additional.fields 属性。
- “org”已映射到 additional.fields 属性。
- 在 service.action.awsApiCallAction.affectedResources 下,映射了“AWS::S3::Bucket”additional.fields 属性。
- 如果 service.action.actionType 为 DNS_REQUEST,则“accessKeyId”会映射到 target.resource.id。
- resource.instanceDetails.instanceId 映射到 target.resource.id
- resource.instanceDetails.instanceType 映射到 target.resource.name
- resource.instanceDetails.networkInterfaces.0.vpcId 映射到 target.asset.attribute.cloud.vpc.id
- resource.instanceDetails.tags 下的值映射了以下字段:
- 如果键为“ApplicationOwner”,则为 target.user.userid。
- target.application(如果键为“Application”)。
- 如果键为“Contact”(联系信息),则为 user.email_addresses。
- 如果键为“名称”“DAM_Project”“Project”或“ehc:C3Schedule”,则为 additional.fields。
- service.action.dnsRequestAction.protocol 映射了 network.ip_protocol(如果值不为 0)。
- service.action.networkConnectionAction.blocked 已映射到 security_result.action。
- “severity”已映射到 security_result.severity_details。