AWS CloudTrail ログを収集する

このドキュメントでは、AWS CloudTrail ログとコンテキスト データを Google Security Operations に取り込むように構成する手順について詳しく説明します。この手順は、AWS GuardDuty、AWS VPC Flow、AWS CloudWatch、AWS Security Hub などの他の AWS サービスからログを取り込む場合にも適用されます。

イベントログを取り込むために、この構成では CloudTrail ログを Amazon Simple Storage Service（Amazon S3）バケットに転送します。フィードソースタイプとして、Amazon Simple Queue Service（Amazon SQS）または Amazon S3 を選択できます。

このドキュメントの最初のセクションでは、フィードソース タイプとして Amazon S3 を使用するか、必要に応じて、フィードソース タイプとして Amazon SQS で Amazon S3 を使用してログを取り込む方法について説明します。

後半では、Amazon S3 をフィードソース タイプとして使用するための詳細な手順をスクリーンショットで説明します。このセクションでは Amazon SQS は扱いません。

3 番目のセクションでは、ホスト、サービス、VPC ネットワーク、ユーザーの AWS コンテキスト データを取り込む方法について説明します。

SQS の有無にかかわらず S3 からログを取り込む基本的な手順

このセクションでは、AWS CloudTrail ログを Google Security Operations インスタンスに取り込む基本的な手順について説明します。このステップでは、フィードソースタイプとして Amazon SQS で Amazon S3 を使用するか、必要に応じて、フィードソースタイプとして Amazon S3 を使用して、これを行う方法を説明します。

AWS CloudTrail と S3 を構成する

この手順では、S3 バケットに書き込まれるように AWS CloudTrail ログを構成します。

1. AWS コンソールで「CloudTrail」を検索します。
2. [Create trail] をクリックします。
3. [Trail name] を指定します。
4. [新しい S3 バケットを作成する] を選択します。既存の S3 バケットを使用するよう選択することもできます。
5. [AWS KMS Alias] の名前を指定するか、既存の [AWS KMS Key] を選択します。
6. その他の設定はデフォルトのままにして、[次へ] をクリックします。
7. [イベントタイプ] を選択し、必要に応じて [データイベント] を追加して、[次へ] をクリックします。
8. [Review and create] で設定を確認し、[Create trail] をクリックします。
9. AWS コンソールで「Amazon S3 Buckets」を検索します。
10. 新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。[Copy S3 URI] をクリックして、次の手順で使用するために保存します。

SQS キューを作成する

SQS キューを使用することをおすすめします。SQS キューを使用する場合は、FIFO キューではなく標準キューである必要があります。

SQS キューの作成の詳細については、Amazon SQS のスタートガイドをご覧ください。

SQS キューへの通知を設定する

SQS キューを使用する場合は、S3 バケットで通知を設定して、SQS キューに書き込みます。必ずアクセス ポリシーをアタッチしてください。

AWS IAM ユーザーを構成する

Google Security Operations が SQS キュー（使用される場合）と S3 バケットの両方にアクセスするために使用する AWS IAM ユーザーを構成します。

1. AWS コンソールで [IAM] を検索します。
2. [ユーザー] をクリックし、次の画面で [ユーザーを追加] をクリックします。
3. ユーザー名を指定します（例: chronicle-feed-user）。[アクセスキー - プログラムでアクセス] としてAWS 認証情報タイプを選択して、[次へ: 権限] をクリックします。
4. 次のステップでは、[既存のポリシーを直接アタッチする] を選択し、必要に応じて [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。AWS S3 のストレージの費用を最適化するために、ログの読み取り後に Google Security Operations が S3 バケットをクリアする場合は、AmazonS3FullAccess が使用されます。
5. 前の手順の代わりとして、カスタム ポリシーを作成することで、指定された S3 バケットのみにアクセスをさらに制限できます。[ポリシーを作成] をクリックし、AWS のドキュメントに従ってカスタム ポリシーを作成します。
6. ポリシーを適用する際は、sqs:DeleteMessage が含まれていることを確認してください。sqs:DeleteMessage 権限が SQS キューに関連付けられていない場合、Google Security Operations はメッセージを削除できません。すべてのメッセージは AWS 側に蓄積され、Google Security Operations が同じファイルを繰り返し転送しようとするため、遅延が発生します。
7. [次へ: タグ] をクリックします。
8. 必要に応じてタグを追加し、[次へ: 確認] をクリックします。
9. 構成を確認し、[ユーザーを作成] をクリックします。
10. 作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーして、次のステップで使用します。

フィードを作成する

上記の手順を完了したら、Amazon S3 バケットから Google Security Operations インスタンスに AWS ログを取り込むフィードを作成します。SQS キューを使用していない場合は、次の手順で、フィードソースタイプに [Amazon SQS] ではなく [Amazon S3] を選択します。

フィードを作成するには:

1. ナビゲーション バーで、[設定] > [SIEM の設定] > [フィード] を選択します。
2. [フィード] ページで、[次を追加する] をクリックします。
3. [フィードを追加] ダイアログで、[ソースタイプ] ダイアログを使用して [Amazon SQS] または [Amazon S3] を選択します。
4. [ログタイプ] メニューで、[AWS CloudTrail]（または別の AWS サービス）を選択します。
5. [次へ] をクリックします。

6. フィールドにフィードの入力パラメータを入力します。
   フィードソースタイプが Amazon S3 の場合は、次の操作を行います。

   1. [リージョン] を選択し、先ほどコピーした Amazon S3 バケットの [S3 URI] を指定します。変数を使用して S3 URI を追加することもできます。

       {{datetime("yyyy/MM/dd")}}
       

      次の例では、Google Security Operations は特定の 1 日だけ毎回ログをスキャンします。

       s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
       

   2. [URI IS A] では、[サブディレクトリを含むディレクトリ] を選択します。[ソース削除オプション] で適切なオプションを選択します。先ほど作成した IAM ユーザー アカウントの権限と一致していることを確認します。

   3. 以前に作成した IAM ユーザーアカウントのアクセスキー ID とシークレット アクセスキーを指定します。

7. [Next] をクリックして [Finish] をクリックします。

S3 からログを取り込む詳細な手順

AWS CloudTrail（またはその他のサービス）を構成する

AWS CloudTrail ログを構成し、これらのログを以前の手順で作成した AWS S3 バケットに書き込むようにこれらのログに指示するために、以下の手順を行います。

1. AWS コンソールで「CloudTrail」を検索します。

2. [Create trail] をクリックします。

   

3. [Trail name] を指定します。

4. [新しい S3 バケットを作成する] を選択します。既存の S3 バケットを使用するよう選択することもできます。

5. [AWS KMS Alias] の名前を指定するか、既存の [AWS KMS Key] を選択します。

   

6. その他の設定はデフォルトのままにして、[次へ] をクリックします。

7. [イベントタイプ] を選択し、必要に応じて [データイベント] を追加して、[次へ] をクリックします。

   

8. [Review and create] で設定を確認し、[Create trail] をクリックします。

9. AWS コンソールで「Amazon S3 Buckets」を検索します。

   

10. 新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。[Copy S3 URI] をクリックして、次の手順で使用するために保存します。

    

AWS IAM ユーザーを構成する

このステップでは、Google Security Operations が AWS からログフィードを取得するために使用する AWS IAM ユーザーを構成します。

1. AWS コンソールで [IAM] を検索します。

   

2. [ユーザー] をクリックし、次の画面で [ユーザーを追加] をクリックします。

   

3. ユーザー名を指定します（例: chronicle-feed-user）。[アクセスキー - プログラムでアクセス] としてAWS 認証情報タイプを選択して、[次へ: 権限] をクリックします。

   

4. 次のステップでは、[既存のポリシーを直接アタッチする] を選択し、必要に応じて [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。AWS S3 のストレージの費用を最適化するために、ログの読み取り後に Google Security Operations が S3 バケットをクリアする場合は、AmazonS3FullAccess が使用されます。[次へ: タグ] をクリックします。

   

5. 前の手順の代わりとして、カスタム ポリシーを作成することで、指定された S3 バケットのみにアクセスをさらに制限できます。[ポリシーを作成] をクリックし、AWS のドキュメントに従ってカスタム ポリシーを作成します。

   

6. 必要に応じてタグを追加し、[次へ: 確認] をクリックします。

7. 構成を確認し、[ユーザーを作成] をクリックします。

   

8. 作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーして、次のステップで使用します。

   

AWS ログを取り込むように Google Security Operations のフィードを構成する

1. Google Security Operations の設定に移動し、[フィード] をクリックします。
2. [Add New] をクリックします。
3. フィードの [ソースタイプ] として [Amazon S3] を選択します。
4. [ログタイプ] で [AWS CloudTrail]（またはその他の AWS サービス）を選択します。

1. [Next] をクリックします。

2. [リージョン] を選択し、先ほどコピーした Amazon S3 バケットの [S3 URI] を指定します。さらに、次のとおり S3 URI を追加できます。

   
   {{datetime("yyyy/MM/dd","+8H")}}
   
   

   次の例のように、Google Security Operations が特定の 1 日だけ毎回ログをスキャンするようになります。

   
   s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd","+8H")}}/
   
   

3. [URI IS A] で [サブディレクトリを含むディレクトリ] を選択します。[ソースの削除オプション] で適切なオプションを選択します。これは、先ほど作成した IAM ユーザー アカウントの権限と一致している必要があります。

4. 前に作成した [IAM ユーザー] アカウントの [アクセスキー ID] と [シークレット アクセスキー] を指定します。

5. [次へ] をクリックして [終了] をクリックします。

AWS コンテキスト データを取り込む手順

AWS エンティティ（ホスト、インスタンス、ユーザーなど）に関するコンテキスト データを取り込むには、次のログタイプごとにフィードを作成します。それは説明と取り込みラベルで一覧表示されます。

• AWS EC2 ホスト（AWS_EC2_HOSTS）
• AWS EC2 インスタンス（AWS_EC2_INSTANCES）
• AWS EC2 VPCS（AWS_EC2_VPCS）
• AWS Identity and Access Management (IAM) (AWS_IAM)

これらのログタイプごとにフィードを作成するには、以下を行います。

1. ナビゲーション バーで、[設定]、[SIEM の設定]、[フィード] の順に選択します。
2. [フィード] ページで、[次を追加する] をクリックします。[フィードを追加する] ダイアログが表示されます。
3. [ソースタイプ] メニューで、[サードパーティ API] を選択します。
4. [ログタイプ] メニューで、[AWS EC2 ホスト] を選択します。
5. [次へ] をクリックします。
6. フィールドにフィード用の入力パラメータを入力します。
7. [次へ]、[完了] の順にクリックします。

ログタイプごとにフィードを設定する方法の詳細については、次のフィード管理ドキュメントをご覧ください。

• AWS EC2 ホスト（AWS_EC2_HOSTS）
• AWS EC2 インスタンス（AWS_EC2_INSTANCES）
• AWS EC2 VPCS（AWS_EC2_VPCS）
• AWS Identity and Access Management (IAM) (AWS_IAM)

フィードの作成に関する一般的な情報については、フィード管理ユーザーガイドまたは フィード管理　API をご覧ください。

フィールド マッピング リファレンス

このパーサー コードは、AWS CloudTrail ログを JSON 形式で処理します。まず、未加工のログメッセージを抽出して構造化してから、「Records」配列内の各レコードを反復処理し、単一イベントをマルチイベントと同じ形式に正規化します。最後に、抽出されたフィールドを Google Security Operations UDM スキーマにマッピングし、コンテキストとセキュリティに関連する追加情報をデータに追加します。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
Records.0.additionalEventData .AuthenticationMethod	additional.fields .AuthenticationMethod.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .CipherSuite	additional.fields .CipherSuite.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .LoginTo	additional.fields .LoginTo.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .MFAUsed	extensions.auth.auth_details	値が「はい」の場合、UDM フィールドは「MFAUsed: Yes」に設定されます。それ以外の場合は、「MFAUsed: No」に設定されます。
Records.0.additionalEventData .MobileVersion	additional.fields .MobileVersion.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .SamlProviderArn	additional.fields .SamlProviderArn.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .SignatureVersion	additional.fields .SignatureVersion.value.string_value	元のログフィールドからの直接マッピング。
Records.0.additionalEventData .bytesTransferredIn	network.received_bytes	未加工ログ フィールドからの直接マッピング。符号なし整数に変換されます。
Records.0.additionalEventData .bytesTransferredOut	network.sent_bytes	未加工ログ フィールドからの直接マッピング。符号なし整数に変換されます。
Records.0.additionalEventData .x-amz-id-2	additional.fields .x-amz-id-2.value.string_value	元のログフィールドからの直接マッピング。
Records.0.awsRegion	principal.location.name	元のログフィールドからの直接マッピング。
Records.0.awsRegion	target.location.name	元のログフィールドからの直接マッピング。
Records.0.errorCode	security_result.rule_id	元のログフィールドからの直接マッピング。
Records.0.errorMessage	security_result.description	UDM フィールドは「Reason:」に設定され、未加工のログフィールドの値が連結されます。
Records.0.eventCategory	security_result.category_details	元のログフィールドからの直接マッピング。
Records.0.eventID	metadata.product_log_id	元のログフィールドからの直接マッピング。
Records.0.eventName	metadata.product_event_type	元のログフィールドからの直接マッピング。
Records.0.eventName	_metadata.event_type	未加工ログ フィールドの値に基づいてマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。
Records.0.eventSource	target.application	元のログフィールドからの直接マッピング。
Records.0.eventSource	metadata.ingestion_labels.EventSource	元のログフィールドからの直接マッピング。
Records.0.eventTime	metadata.event_timestamp	未加工ログフィールドからの直接マッピング。ISO8601 タイムスタンプとして解析されます。
Records.0.eventVersion	metadata.product_version	元のログフィールドからの直接マッピング。
Records.0.managementEvent	additional.fields.ManagementEvent .value.string_value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.readOnly	additional.fields.ReadOnly .value.string_value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.recipientAccountId	principal.user.group_identifiers	元のログフィールドからの直接マッピング。
Records.0.recipientAccountId	target.resource.attribute .labels.Recipient Account Id.value	元のログフィールドからの直接マッピング。
Records.0.requestID	target.resource.attribute .labels.Request ID.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters	target.resource.attribute .labels	requestParameters 内のさまざまなフィールドは、ターゲット リソース属性内のラベルにマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。
Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI	target.resource.attribute .labels.AccessControlList Grantee URI.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls	target.resource.attribute .labels.BlockPublicAcls.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy	target.resource.attribute .labels.BlockPublicPolicy.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls	target.resource.attribute .labels.IgnorePublicAcls.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets	target.resource.attribute .labels.RestrictPublicBuckets.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters.accessKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.allocationId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.associationId	target.resource.attribute .labels.requestParameters associationId.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.certificateId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters .configurationRecorder.name	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters .configurationRecorderName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters .createVolumePermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .createVolumePermission.add.items.0.userId	target.resource.attribute .labels.Add Items UserId.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .createVolumePermission.remove.items.0.userId	target.resource.attribute .labels.Remove Items UserId.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.detectorId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.destinationId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.directoryId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.documentName	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.egress	target.resource.attribute .labels.requestParameters egress.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.emailIdentity	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.enabled	target.resource.attribute .labels.Request Enabled.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value	target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.functionName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters .granteePrincipal	principal.hostname	元のログフィールドからの直接マッピング。
Records.0.requestParameters .granteePrincipal	principal.asset.hostname	元のログフィールドからの直接マッピング。
Records.0.requestParameters.groupId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.groupName	target.group.group_display_name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.imageId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.instanceId	target.resource_ancestors.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters .instanceProfileName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.instanceType	target.resource.attribute .labels.Instance Type.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .instancesSet.items.0.instanceId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters .instancesSet.items.0.maxCount	target.resource.attribute .labels.Instance Set Max Count.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .instancesSet.items.0.minCount	target.resource.attribute .labels.Instance Set Min Count.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp	target.resource.attribute .labels.ipPermissions cidrIp.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6	target.resource.attribute .labels.ipPermissions cidrIpv6.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.keyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters. launchPermission.add.items.0.group	target.resource.attribute .labels.Add Items Group.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn	target.resource.attribute.labels .Add Items OrganizationalUnitArn .value	元のログフィールドからの直接マッピング。
Records.0.requestParameters. launchPermission.add.items .0.userId	target.resource.attribute .labels.Add Items UserId.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn	target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value	元のログフィールドからの直接マッピング。
Records.0.requestParameters. launchPermission.remove.items .0.userId	target.resource.attribute .labels.Remove Items UserId.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.loadBalancerArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.logGroupIdentifier	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.logGroupName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.name	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.name	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.networkAclId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters .networkInterfaceId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.parentId	target.resource_ancestors.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.policyArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters .policyArns.0.arn	target.resource.attribute .labels.Policy ARN 0.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .policyArns.1.arn	target.resource.attribute .labels.Policy ARN 1.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.policyName	target.resource.attribute .permissions.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.policyName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.principalArn	principal.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.publicKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.RegionName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.RegionName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.roleName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.sAMLProviderArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.secretId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.serialNumber	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters .serviceSpecificCredentialId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.sendingEnabled	target.resource.attribute .labels.Request Sending Enabled.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.requestParameters.snapshotId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.sSHPublicKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.stackName	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.status	target.resource.attribute .labels.Request Parameter Status.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.subnetId	target.resource.attribute .labels.Subnet Id.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .targets.0.InstanceIds	target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters .targets.0.key	target.resource.attribute .labels.requestParameters.targets.0.key.value	元のログフィールドからの直接マッピング。
Records.0.requestParameters.trailName	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.requestParameters.userName	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.requestParameters.volumeId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.requestParameters.withDecryption	security_result.detection_fields .withDecryption.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.responseElements	target.resource.attribute.labels	responseElements 内のさまざまなフィールドは、ターゲット リソース属性内のラベルにマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。
Records.0.responseElements.accessKey.accessKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.accessKey.status	target.resource.attribute .labels.Response Access Key Status.value	元のログフィールドからの直接マッピング。
Records.0.responseElements.accessKey.userName	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.responseElements.allocationId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .certificate.certificateId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .certificate.status	target.resource.attribute .labels.Certificate Status.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .certificate.userName	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.responseElements .credentials.accessKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .credentials.sessionToken	security_result.detection_fields .sessionToken.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .createAccountStatus.accountId	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.responseElements .createAccountStatus.accountName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.responseElements .createCollectionDetail.arn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .createCollectionDetail.id	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .deleteCollectionDetail.id	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.description	target.resource.attribute .labels.Response Elements Description.value	元のログフィールドからの直接マッピング。
Records.0.responseElements.destinationId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.detectorId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.directoryId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .domainStatus.aRN	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .domainStatus.domainId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .federatedUser.arn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .federatedUser.federatedUserId	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.responseElements .firewall.firewallArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .firewall.firewallId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .firewall.firewallName	target.resource.attribute .labels.Firewall Name.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .flowLogIdSet.item	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.functionArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .group.arn	target.group.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .group.groupName	target.group.group_display_name	元のログフィールドからの直接マッピング。
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .iamInstanceProfileAssociation.instanceId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .image.imageId.imageDigest	src.file.sha256	UDM フィールドは、元のログフィールドの「sha256:」の後の値に設定されます。
Records.0.responseElements .image.imageManifestMediaType	src.file.mime_type	元のログフィールドからの直接マッピング。
Records.0.responseElements.instanceArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .instanceProfile.arn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .instancesSet.items.0.instanceId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.keyId	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .keyMetadata.arn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .keyMetadata.encryptionAlgorithms	security_result.detection_fields .encryptionAlgorithm.value	UDM フィールドは、未加工のログフィールドの配列内の各要素の値に設定されます。
Records.0.responseElements .keyMetadata.keyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.keyPairId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .listeners.0.listenerArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .listeners.0.loadBalancerArn	target.resource.ancestors.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .loadBalancers.0.loadBalancerArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements.newAssociationId	target.resource.attribute.labels .responseElements newAssociationId.value	元のログフィールドからの直接マッピング。
Records.0.responseElements.packedPolicySize	security_result.detection_fields .packedPolicySize.value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.0.responseElements .publicKey.publicKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.sAMLProviderArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .sSHPublicKey.sSHPublicKeyId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .sSHPublicKey.status	target.resource.attribute .labels.SSH Public Key Status.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .securityGroupRuleSet.items.0.groupId	security_result.rule_labels.Group Id.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol	network.ip_protocol	未加工ログ フィールドからの直接マッピング。大文字に変換されます。
Records.0.responseElements .securityGroupRuleSet.items.0.isEgress	network.direction	値が「false」の場合、UDM フィールドは「INBOUND」に設定されます。それ以外の場合は「OUTBOUND」に設定されます。
Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId	security_result.rule_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .serviceSpecificCredential.serviceName	target.resource.attribute.labels .特定の認証情報 ServiceName .value	元のログフィールドからの直接マッピング。
Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .serviceSpecificCredential.serviceUserName	target.resource.attribute.labels .Specific Credential Service UserName .value	元のログフィールドからの直接マッピング。
Records.0.responseElements .serviceSpecificCredential.status	target.resource.attribute .labels.Specific Credential Status.value	元のログフィールドからの直接マッピング。
Records.0.responseElements .serviceSpecificCredential.userName	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.responseElements.snapshotId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.stackId	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .tableDescription.tableArn	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .tableDescription.tableId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements.trailARN	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements .user.arn	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.responseElements .user.userId	target.user.product_object_id	元のログフィールドからの直接マッピング。
Records.0.responseElements .user.userName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.responseElements .virtualMFADevice.serialNumber	target.resource.name	元のログフィールドからの直接マッピング。
Records.0.responseElements.volumeId	target.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.resources	target.resource	resources 配列の最初の要素は、ターゲット リソースにマッピングされます。その他の要素は about フィールドにマッピングされます。
Records.0.sharedEventID	additional.fields.SharedEventID .value.string_value	元のログフィールドからの直接マッピング。
Records.0.sourceIPAddress	principal.asset.ip	元のログフィールドからの直接マッピング。
Records.0.sourceIPAddress	principal.ip	元のログフィールドからの直接マッピング。
Records.0.sourceIPAddress	src_ip	元のログフィールドからの直接マッピング。
Records.0.tlsDetails.cipherSuite	network.tls.cipher	元のログフィールドからの直接マッピング。
Records.0.tlsDetails.clientProvidedHostHeader	security_result.detection_fields .clientProvidedHostHeader.value	元のログフィールドからの直接マッピング。
Records.0.tlsDetails.tlsVersion	network.tls.version	元のログフィールドからの直接マッピング。
Records.0.userAgent	network.http.user_agent	元のログフィールドからの直接マッピング。
Records.0.userAgent	network.http.parsed_user_agent	未加工のログのフィールドから直接マッピングされ、ユーザー エージェント文字列として解析されます。
Records.0.userIdentity.accessKeyId	additional.fields.accessKeyId .value.string_value	元のログフィールドからの直接マッピング。
Records.0.userIdentity.accountId	principal.resource.product_object_id	元のログフィールドからの直接マッピング。
Records.0.userIdentity.accountId	principal.user.group_identifiers	元のログフィールドからの直接マッピング。
Records.0.userIdentity.arn	principal.resource.name	元のログフィールドからの直接マッピング。
Records.0.userIdentity.arn	principal.user.userid	元のログフィールドからの直接マッピング。
Records.0.userIdentity.arn	target.user.attribute .labels.ARN.value	元のログフィールドからの直接マッピング。
Records.0.userIdentity.invokedBy	principal.user.userid	UDM フィールドは、元のログフィールドの「.amazonaws.com」の前の値に設定されます。
Records.0.userIdentity.principalId	principal.user.product_object_id	元のログフィールドからの直接マッピング。
Records.0.userIdentity.principalId	principal.user.attribute .labels.principalId.value	元のログフィールドからの直接マッピング。
Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated	principal.user.attribute .labels.mfaAuthenticated.value	元のログフィールドからの直接マッピング。
Records.0.userIdentity .sessionContext.sessionIssuer.arn	target.user.attribute .labels.ARN.value	元のログフィールドからの直接マッピング。
Records.0.userIdentity .sessionContext.sessionIssuer.principalId	target.user.userid	元のログフィールドからの直接マッピング。
Records.0.userIdentity .sessionContext.sessionIssuer.type	target.user.attribute .labels.Type.value	元のログフィールドからの直接マッピング。
Records.0.userIdentity .sessionContext.sessionIssuer.userName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.userIdentity.type	principal.resource.resource_subtype	元のログフィールドからの直接マッピング。
Records.0.userIdentity.type	principal.resource.type	元のログフィールドからの直接マッピング。
Records.0.userIdentity.userName	principal.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.userIdentity.userName	src.user.userid	元のログフィールドからの直接マッピング。
Records.0.userIdentity.userName	src.user.user_display_name	元のログフィールドからの直接マッピング。
Records.0.userIdentity.userName	target.user.user_display_name	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .AuthenticationMethod	additional.fields.AuthenticationMethod .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .CipherSuite	additional.fields.CipherSuite .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .LoginTo	additional.fields.LoginTo .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .MFAUsed	extensions.auth.auth_details	値が「はい」の場合、UDM フィールドは「MFAUsed: Yes」に設定されます。それ以外の場合は、「MFAUsed: No」に設定されます。
Records.1.additionalEventData .MobileVersion	additional.fields.MobileVersion .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .SamlProviderArn	additional.fields.SamlProviderArn .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .SignatureVersion	additional.fields.SignatureVersion .value.string_value	元のログフィールドからの直接マッピング。
Records.1.additionalEventData .bytesTransferredIn	network.received_bytes	未加工ログ フィールドからの直接マッピング。符号なし整数に変換されます。
Records.1.additionalEventData .bytesTransferredOut	network.sent_bytes	未加工ログ フィールドからの直接マッピング。符号なし整数に変換されます。
Records.1.additionalEventData .x-amz-id-2	additional.fields.x-amz-id-2 .value.string_value	元のログフィールドからの直接マッピング。
Records.1.awsRegion	principal.location.name	元のログフィールドからの直接マッピング。
Records.1.awsRegion	target.location.name	元のログフィールドからの直接マッピング。
Records.1.errorCode	security_result.rule_id	元のログフィールドからの直接マッピング。
Records.1.errorMessage	security_result.description	UDM フィールドは「Reason:」に設定され、未加工のログフィールドの値が連結されます。
Records.1.eventCategory	security_result.category_details	元のログフィールドからの直接マッピング。
Records.1.eventID	metadata.product_log_id	元のログフィールドからの直接マッピング。
Records.1.eventName	metadata.product_event_type	元のログフィールドからの直接マッピング。
Records.1.eventName	_metadata.event_type	未加工ログ フィールドの値に基づいてマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。
Records.1.eventSource	target.application	元のログフィールドからの直接マッピング。
Records.1.eventSource	metadata.ingestion_labels.EventSource	元のログフィールドからの直接マッピング。
Records.1.eventTime	metadata.event_timestamp	未加工ログフィールドからの直接マッピング。ISO8601 タイムスタンプとして解析されます。
Records.1.eventVersion	metadata.product_version	元のログフィールドからの直接マッピング。
Records.1.managementEvent	additional.fields.ManagementEvent .value.string_value	未加工ログ フィールドから直接マッピングされ、文字列に変換されます。
Records.1.readOnly	additional.fields.ReadOnly .value

変更点

2024-07-30

• 新しいログを解析するように「src_ip」と「event_type」のマッピングを修正しました。

2024-07-29

• バグの修正:
• 「eventName」が「GetLoginProfile」の場合、「metadata.event_type」を「RESOURCE_READ」にマッピングしました。

2024-07-24

• マッピングを「recipientAccountId」から「userIdentity.accountId」に変更し、「additional.fields」にマッピングしました。

2024-07-23

• 「alert_emails」と「owner_names」を「target.resource.attribute.labels」にマッピングしました。

2024-07-09

• 「eventVersion」を「metadata.product_version」にマッピングしました。
• 「userIdentity.principalId」を「principal.user.attribute.labels」にマッピングしました。
• 「userIdentity.sessionContext.attributes.creationDate」を「principal.user.attribute.creation_time」にマッピングしました。
• 「userIdentity.sessionContext.sessionIssuer.type」を「target.user.attribute.labels」にマッピングしました。
• 「additionalEventData.bytesTransferredIn」を「network.received_bytes」にマッピングしました。
• 「additionalEventData.bytesTransferredOut」を「network.sent_bytes」にマッピングしました。
• 「managementEvent」、「readOnly」、「sharedEventID」、「apiVersion」、「additionalEventData.x-amz-id-2」、「additionalEventData.SignatureVersion」、「additionalEventData.AuthenticationMethod」、「additionalEventData.CipherSuite」、「additionalEventData.sub」を「additional.fields」にマッピングしました。

2024-06-24

• JSON ログの新しいパターンのサポートを追加しました。

2024-06-24

• フィールド「principal.resource.type」は非推奨のフィールドであるため、マッピングを「principal.resource.type」から「principal.resource.resource_subtype」に更新しました。

2024-05-21

• 「requestParameters.bucketPolicy.Statement.n.Resource」が配列の場合、「requestParameters.bucketPolicy.Statement.n.Resource」を「additional.fields」にマッピングしました。

2024-05-09

• 「userid」が「^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$」の形式と一致する場合に、「groupid」部分を「principal.user.userid」から「principal.user.groupid」と「principal.user.group_identifiers」にマッピングしました。

2024-04-30

• 「req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress」を「target.resource.attribute.labels」にマッピングしました。

2024-03-22

• 「Noun.user.userid」を「Noun.user.product_object_id」にマッピングしました。
• 「userIdentity.arn」の「RoleName」を「principal.user.role_name」と「principal.user.attribute.roles.name」にマッピングしました。
• 「requestParameters.policyArn」の「PoicyName」を「security_result.rule_name」にマッピングしました。

2024-03-04

• 「eventName」が「TerminateInstances」のログの場合:
• 「responseElements」JSON オブジェクトを「target.resource.attribute.labels」にマッピングしました。
• 「sessionCredentialFromConsole」を「target.resource.attribute.labels」にマッピングしました。
• 「eventName」が「CreateDomain」、「DeleteDomain」、「CreateCollection」のログの場合、
• "DeleteCollection","CreateDBCluster","DeleteDBCluster","StopDBCluster","StartDBCluster",
• 「CreateCluster」、「DeleteCluster」、「ListClusters」、「CreateNodegroup」、「DeleteNodegroup」
• 「RegisterCluster」、「DeregisterCluster」、「DescribeCluster」、「DescribeNodegroup」、「ListNodegroups」。
• 「target.resource.resource_type」を「CLUSTER」に設定します。

2023-11-21

• 「awsRegion」を「target.location.name」にマッピングしました。
• 「eventName」が「PutBucketAcl」のログで、「userIdentity.arn」が存在しない場合、「metadata.event_type」を「STATUS_UPDATE」に変更します。
• 「eventName」が「Get」、「List」、「Describe」、「Detect」、「Query」、「Check」、「Decode」のプレフィックスであるログの場合、
• 「復号」、「ダウンロード」、「取得」、「読み取り」、「検出」、「検索」、「プレビュー」、「スキャン」、「選択」、「分類」、「表示」、「表示」:
• 「metadata.event_type」を「RESOURCE_READ」に設定。
• 「eventName」の接頭辞が「Delete」、「Terminate」のログの場合:
• 「metadata.event_type」を「RESOURCE_DELETION」に設定します。
• 「eventName」が「Create」、「Put」、「Import」、「Generate」、「Allocate」のプレフィックスであるログの場合:
• 「metadata.event_type」を「RESOURCE_CREATION」に設定します。
• 「eventName」が「Start」、「Activate」、「Reboot」、「Initialize」、「New」の接頭辞を持つログの場合:
• 「metadata.event_type」を「STATUS_STARTUP」に設定します。
• 「eventName」が「Stop」、「Cancel」、「Disconnect」のプレフィックスであるログの場合:
• 「metadata.event_type」を「STATUS_SHUTDOWN」に設定します。
• 「eventName」が「Test」、「Accept」、「Notify」、「Request」、「Validate」、「Confirm」、「Reject」、「Verify」、「Authorize」、「Complete」の接頭辞であるログの場合:
• 「metadata.event_type」を「STATUS_UPDATE」に設定。
• 「eventName」の接頭辞が「Assume」、「ConsoleLogin」のログの場合:
• 「metadata.event_type」を「USER_LOGIN」に設定します。
• 「eventName」が「SendHeartbeat」のログの場合:
• 「metadata.event_type」を「STATUS_HEARTBEAT」に設定します。
• 「eventName」が「Initiate」、「Publish」、「Replace」、「Resume」、「Run」、「Submit」、「Suspend」のプレフィックスであるログの場合、
• 「変更」、「増加」、「招待」、「プロビジョニング」、「更新」、「レポート」、「アップグレード」、「中止」、「適用」、「バックアップ」、「減少」
• 「統合」、「再試行」、「ローテーション」、「ローテーション」、「転送」、「割り当て解除」、「分析」、「アーカイブ」、「ベータ版_」、「消去」、「構成」
• 「Confirm_」、"Do"、"Evaluate"、"Failover"、"Forgot"、"Lock"、"Migrate"、"O"、"Process"、"Promote"、"Release"、"Renew"、
• 「署名」、「アーカイブ解除」、「非推奨を解除」、「ロック解除」、「確認」、「承認」、「接続」、「続行」、「拒否」、「デプロイ」
• 「診断」、「ドロップ」、「終了」、「ファイナライズ」、「フラッシュ」、「忘れる」、「付与」、「発行」、「ログアウト」、「移動」、「オプト」、「一時停止」、
• 「再ビルド」、「利用」、「複製」、「再起動」、「S」、「保存」、「登録」、「同期」、「リンク解除」、「登録解除」、「一時停止を解除」
• 「許可」、「Ato」、「戻る」、「バックトラック」、「入札」、「バインド」、「ビルド」、「バンドル」、「クローン」、「閉じる」、「Cognito」、「コンソール」、「破棄」、
• 「Dissociate」、「End」、「Enroll」、「Enter」、「Environment」、「Event_」、「Exclude」、「Global」、「Include」、「Index」、「Insert」、「Install」
• 「無効化」、「参加」、「離脱」、「読み込み」、「マネージド」、「マーク」、「モニタリング」、「ピア」、「永続化」、「準備」、「公開鍵」、「パージ」、「プッシュ」
• 「再バランス調整」、「記録」、「復元」、「削除」、「拒否」、「再招待」、「再読み込み」、「名前変更」、「返信」、「再同期」、「廃止」、「元に戻す」
• 「Rollback」、「Schedule」、「Secret」、「Shutdown」、「Signal」、「Skip」、「Split」、「Stream」、「Swap」、「Switch」、「Toggle」、「Token_」
• 「翻訳」、「切り捨て」、「権限の取り消し」、「デプロイの解除」、「モニタリングの解除」、「ピアの解除」、「使用」:
• 「metadata.event_type」を「RESOURCE_WRITTEN」に設定します。
• 「eventName」が「Update」、「Associate」、「Disassociate」、「Modify」、「Set」、「Register」、「Deregister」の接頭辞であるログの場合、
• [追加]、[削除]、[有効にする]、[無効にする]、[送信]、[復元]、[リセット]、[接続]、[切断]、[エクスポート]、[コピー]、[タグ付け]、
• 「タグ付け解除」、「実行」、「購入」、「割り当て」、「無効化」、「投稿」、「再送信」、「アップロード」、「割り当て」、「変更」、「定義」
• 「非推奨」、「呼び出し」、「取り消し」:
• 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。

2023-11-11

• 重複するマッピングが発生しないように、変数を null または空に初期化します。
• 「requestParameters.tagSpecificationSet.items.key」が「Hostname」の場合は、「target.hostname」にマッピングします。

2023-10-27

• 「eventName」が「AssociateIamInstanceProfile」のログの場合:
• 「responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
• 「responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
• 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
• 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
• 「eventName」が「DisassociateIamInstanceProfile」のログの場合:
• 「responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
• 「responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
• 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
• 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
• 「eventName」が「ReplaceIamInstanceProfileAssociation」のログの場合:
• 「responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
• 「responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
• 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
• 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
• 「requestParameters」と「responseElements」の JSON オブジェクトを「target.resource.attribute.labels」にマッピングしました。
• 「req.userIdentity.userName」のタイプミスを「req.userIdentity.username」に修正しました。

2023-10-13

• 「eventName」が「UpdateDetector」のログの場合:
• 「requestParameters.features.name」と「requestParameters.features.status」を「target.resource.attribute.labels」にマッピングしました。
• 「eventName」が「SendCommand」のログの場合:
• 「requestParameters.documentName」を「target.resource.product_object_id」にマッピングしました。
• 「responseElements.command.commandId」を「target.process.product_specific_object.id」にマッピングしました。
• 「metadata.event_type」を「PROCESS_LAUNCH」にマッピングしました。
• 「requestParameters.documentName」を「target.resource.name」にマッピングしました。
• 「requestParameters」と「responseElements」のすべてのパラメータを「target.resource.attribute.labels」にマッピングしました。
• 「eventName」が「createAccountResult」のログの場合、「event_type」を「USER_RESOURCE_ACCESS」にマッピングします。
• 「eventName」が「createAccount」のログの場合、「event_type」を「RESOURCE_CREATION」にマッピングします。

2023-09-30

• 次のフィールドに新しいマッピングを追加します。
• 「req.requestParameters.durationSeconds」を「target.resource.attribute.labels」にマッピングしました。
• 「req.requestParameters.policyArns」を「target.resource.attribute.labels」にマッピングしました。
• 「eventName」が「GetParameter」、「GetParameters」、「GetParameterHistory」、「GetParametersByPath」、「DescribeParameters」のログの処理:
• 「metadata.event_type」を「RESOURCE_READ」にマッピングしました。
• 「req.requestParameters.withDecryption」を「security_result.detection_fields」にマッピングしました。
• 「eventName」が「DeleteParameters」、「DeleteParameter」のログの場合、「metadata.event_type」を「RESOURCE_DELETION」に設定しました。
• 「eventName」が「PutParameter」のログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定します。
• 「eventName」が「EnableRegion」または「DisableRegion」のログの場合は、「req.requestParameters.map.RegionName」から「target.resource.name」を設定します。
• 「eventName」が「GetFederationToken」のログの場合:
• 「metadata.event_type」を「RESOURCE_READ」にマッピングしました。
• 「req.responseElements.federatedUser.arn」を「target.resource.name」にマッピングしました。
• 「req.responseElements.federatedUser.federatedUserId」を「target.user.userid」にマッピングしました。
• 「req.responseElements.packedPolicySize」を「security_result.detection_fields」にマッピングしました。
• 「req.responseElements.credentials.sessionToken」を「security_result.detection_fields」にマッピングしました。

2023-09-15

• 次のフィールドに新しいマッピングを追加します。
• 「requestParameters.userName」を「target.user.user_display_name」にマッピングしました。
• 「additionalEventData.SamlProviderArn」を「additional.fields」にマッピングしました。
• 「eventSource」を「metadata.ingestion_labels」にマッピングしました。
• 「requestParameters.tagSpecificationSet.items.tags.key」の値が「Name」の場合、「requestParameters.tagSpecificationSet.items.tags.value」を「target.resource.name」にマッピングしました。

2023-08-24

• 「eventName」が「CreateFirewall」または「DeleteFirewall」のログの場合:
• 「responseElements.firewallARN」を「target.resource.name」にマッピングしました。
• 「responseElements.firewallId」を「target.resource.product_object_id」にマッピングしました。
• 「responseElements.firewallName」を「target.resource.attribute.labels」にマッピングしました。
• 「target.resource_subtype」を「ファイアウォール」にマッピングしました。
• 「target.resource.resource_type」を「FIREWALL_RULE」にマッピングしました。

2023-08-24

• 「eventName」が「CreateSubnet」のログの場合は、「metadata.event_type」を「RESOURCE_CREATION」に設定します。
• 「req.responseElements.subnet.subnetId」を「target.resource.attribute.labels」にマッピングしました。
• 「req.requestParameters.cidrBlock」を「target.resource.attribute.labels」にマッピングしました。
• 「eventName」が「DeleteSubnet」のログの場合、「metadata.event_type」を「RESOURCE_DELETION」に設定します。
• 「req.requestParameters.subnetId」を「target.resource.attribute.labels」にマッピングしました。

2023-08-16

• 「eventName」が「DeleteSecret」のログの場合、「responseElements.arn」を「target.resource.name」にマッピングしました。

2023-08-02

• 「eventName」が「CreateTags」のログの場合、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
• 「responseElements.description」、「requestParameters.name」、「requestParameters.tagSet.items」、「requestParameters.attributeType」を「target.resource.attribute.labels」にマッピングしました。
• 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_CREATION」に設定します。
• 「CreateNetworkAcl」、「CreateVolume」、「CreatePublishingDestination」、「CreateIPSet」、「CreateThreatIntelSet」
• 「CreateAddon」、「CreateRepository」、「CreateStack」、「CreateDomain」、「CreateCollection」、「CreateTable」
• "CreateDBInstance","CreateDBCluster","CreateDBSnapshot","CreateDBClusterSnapshot","PutConfigRule",
• "PutDeliveryChannel"、"CreateListener"、"CreateLoadBalancer"、"PutLoggingConfiguration"、"CreateTargetGroup"、
• 「CreateWebACL」、「RequestCertificate」、「CreateCluster」
• 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_WRITTEN」に設定します。
• "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet","CreateTags",
• "UpdateTable","ModifyDBInstance","StopDBInstance","StartDBInstance","RebootDBInstance",
• "StartDBCluster","StopDBCluster","ModifyDBSnapshotAttribute","ModifyDBClusterSnapshotAttribute",
• "AddListenerCertificates","ModifyLoadBalancerAttributes","SetSubnets","SetSecurityGroups",
• "ModifyListener","UpdateWebACL","ResendValidationEmail","ModifyInstanceAttribute",
• 「StopInstances」、「StartInstances」、「RebootInstances」
• 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_WRITTEN」に設定しました。
• 「DeletePublishingDestination」、「DeleteIPSet」、「DeleteThreatIntelSet」、「DeleteRepository」
• 「DeleteStack」、「DeleteCollection」、「DeleteDomain」、「DeleteTable」、「DeleteDBInstance」、「DeleteDBCluster」
• "DeleteDBSnapshot","DeleteDBClusterSnapshot","DeleteConfigRule","DeleteEvaluationResults",
• 「DeleteTargetGroup」、「DeleteLoadBalancer」、「DeleteListener」、「DeleteLoggingConfiguration」
• 「DeleteWebACL」、「DeleteCertificate」、「DeleteCluster」
• 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定します。
• 「AssociateWebACL」、「DisassociateWebACL」、「AttachGroupPolicy」、「PutBucketAcl」
• 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_READ」に設定します。
• 「GetPasswordData」、「GetSessionToken」
• 上記のイベント名の「target.resource.resource_type」と他の未マッピング フィールドをマッピングしました。

2023-07-18

• 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_CREATION」にマッピングしました。
• "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization", "CreateNetworkInterface",
• 「StartSSO」、「CreateEmailIdentity」、「VerifyDomainIdentity」、「VerifyDomainDkim」、「VerifyEmailIdentity」
• "CreateConfigurationSet"、"CreateSecret"、"ImportKeyPair"、"CreateAlias"、"CreateKey"、"CreateOrganizationalUnit"、
• 「CreateNetworkAcl」、「CreateVolume」、「CreatePublishingDestination」、「CreateIPSet」、「CreateThreatIntelSet」
• 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
• "UpdateMacieSession","PutAccountSendingAttributes","PutConfigurationSetSendingOptions","UpdateAccountSendingEnabled",
• "UpdateConfigurationSetSendingEnabled","UpdateSecret","DisableKey","EnableKey","CancelKeyDeletion",
• "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet"
• 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_DELETION」にマッピングしました。
• "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances", "RESOURCE_DELETION",
• "DeleteNetworkInterface","DeleteSSO","DeleteBucketPublicAccessBlock","DeleteAccountPublicAccessBlock",
• 「RemoveAccountFromOrganization」、「DeleteEmailIdentity」、「LeaveOrganization」、「DeleteConfigurationSet」
• 「DeleteSecret」、「DeleteKeyPair」、「DeleteAlias」、「ScheduleKeyDeletion」、「DeleteNetworkAcl」
• 「DeletePublishingDestination」、「DeleteIPSet」、「DeleteThreatIntelSet」
• 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」にマッピングしました。
• 「DetachRolePolicy」、「PutRolePolicy」、「PutResourcePolicy」、「PutCredentials」、「DeleteDirectory」
• "AuthorizeSecurityGroupEgress","AuthorizeSecurityGroupIngress","RevokeSecurityGroupEgress","RevokeSecurityGroupIngress",
• "ModifySnapshotAttribute","ModifyImageAttribute","CreateNetworkAclEntry","ReplaceNetworkAclAssociation","DeleteNetworkAclEntry"
• 上記の eventName の「target.resource.resource_type」と他のマッピングされていないフィールドをマッピングしました。
• フィールド「userIdentity.invokedBy」のマッピング前に null チェックを追加しました。

2023-07-06

• フィールド「userIdentity.invokedBy」のマッピング前に null チェックを追加しました。
• 「requestParameters.instanceType」、「requestParameters.instancesSet.items.0.minCount」、「requestParameters.instancesSet.items.0.maxCount」を「target.resource.attribute.labels」にマッピングしました。

2023-06-23

• フィールド「eventname」に基づいて、より具体的な「metadata.event_type」にログをマッピングしました。
• 「target.resource.resource_type」を「VIRTUAL_MACHINE」にマッピングしました。
• 「requestParameters.status」、「responseElements.certificate.status」を「target.resource.attribute.labels」にマッピングしました。
• 「requestParameters.instanceId」を「target.resource_ancestors.product_object_id」にマッピングしました。
• 「requestParameters.userName」を「target.user.userid」にマッピングしました。
• 各「eventName」の下にあるキーに基づいて、「target.resource.name」と「target.resource.product_object_id」をマッピングしました。
• 「userIdentity.arn」を「principal.resource.name」にマッピングしました。
• 「userIdentity.accountId」を「principal.resource.product_object_id」にマッピングしました。
• 次のような「eventName」を持つログの場合、「metadata.event_type」を「RESOURCE_CREATION」にマッピングしました。
• "CreateTrail","AllocateAddress","CreateVolume","CreateVirtualMFADevice","UploadSigningCertificate",
• "CreateAccessKey","UploadSSHPublicKey","CreateServiceSpecificCredential","UploadCloudFrontPublicKey",
• "CreateAnalyzer","CreateSAMLProvider","PutConfigurationRecorder","CreateRole","CreateInstanceProfile",
• "CreateExportTask","CreateLogGroup","EnableSecurityHub","CreateEnvironment","CreateSession","CreateServiceLinkedRole",
• 「CreateSnapshot」、「CreateKeyPair」、「CreateSecurityGroup」、「CreateDetector」、「CreateFlowLogs」
• 「EnableMacie」、「ConnectDirectory」、「RunInstances」、「CreateImage」、「CreateOrganization」
• 次のような「eventName」を持つログの場合、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
• 「StartLogging」、「StopLogging」、「AssociateAddress」、「DisassociateAddress」、「DetachVolume」
• "AttachVolume"、"ModifyVolume"、"EnableMFADevice"、"ResyncMFADevice"、"UpdateSigningCertificate",
• "UpdateAccessKey","UpdateSSHPublicKey","ResetServiceSpecificCredential","UpdateServiceSpecificCredential",
• "UpdateCloudFrontPublicKey","DisableRegion","EnableRegion","UpdateSAMLProvider","StartConfigurationRecorder",
• 「StopConfigurationRecorder」、「PutRetentionPolicy」、「PutDataProtectionPolicy」、「UpdateDetector」、「UpdateMacieSession」
• 次のような「eventName」を持つログの場合、「metadata.event_type」を「RESOURCE_DELETION」にマッピングしました。
• "DeleteTrail"、"ReleaseAddress"、"DeleteVolume"、"DeactivateMFADevice"、"DeleteVirtualMFADevice"、
• 「DeleteSigningCertificate」、「DeleteAccessKey」、「DeleteSSHPublicKey」、「DeleteServiceSpecificCredential」
• "DeleteCloudFrontPublicKey"、"DeleteAnalyzer"、"DeleteSAMLProvider"、"DeleteConfigurationRecorder"、
• 「DeletePolicy」、「DeleteRole」、「DeleteInstanceProfile」、「DeleteLogGroup」、「DisableSecurityHub」、「DisableMacie」
• 「DeleteSnapshot」、「DeleteDetector」、「DeleteFlowLogs」、「DeregisterImage」、「TerminateInstances」
• eventName が次のようなログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」にマッピングしました。
• "AttachUserPolicy","DetachUserPolicy","PutUserPolicy","DeleteUserPolicy",
• "PutUserPermissionsBoundary","DeleteUserPermissionsBoundary","AttachRolePolicy",
• 「DetachRolePolicy」、「PutRolePolicy」、「PutResourcePolicy」、「PutCredentials」、「DeleteDirectory」

2023-06-09

• JSON 配列ログを識別するように正規表現を変更しました。

2023-06-07

• 「eventName」が「ConsoleLogin」の場合のすべての「principal.user」フィールドを「target.user」にマッピングしました。

2023-05-26

• さまざまな JSON パターンのログが解析されました。
• 「cipherSuite」を「network.tls.cipher」にマッピングしました。
• 「requestID」を「target.resource.attribute.labels」にマッピングしました。
• 「assumedRoleId」を「security_result.about.resource.name」にマッピングしました。
• 「roleSessionName」を「target.resource.name」にマッピングしました。
• 「roleArn」を「target.resource.product_object_id」にマッピングしました。
• 「userAgent」を「network.http.user_agent」にマッピングしました。
• 「sourceIPAddress」を「principal.ip」にマッピングしました。
• 「sessionIssuer.userName」を「target.user.user_display_name」にマッピングしました。
• 「sessionIssuer.principalId」を「target.user.userid」にマッピングしました。
• 「userIdentity.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
• 「userIdentity.arn」を「security_result.about.resource.id」にマッピングしました。
• 「req.detail.Longitude」を「_principal.location.region_longitude」にマッピングしました。
• 「req.detail.Latitude」を「_principal.location.region_latitude」にマッピングしました。
• 「detail.resourceType」を「target.resource.resource_subtype」にマッピングしました。
• 「security_result.alert_state」を「ALERTING」に設定します。
• 「req.detail.recommendRemediation」を「security_result.action_details」にマッピングしました。
• 「eventLog.detail.eventName」を「metadata.product_event_type」にマッピングしました。

2023-02-23

• 「requestParameters.principalArn」を「principal.resource.name」にマッピングしました。
• 「resources.ARN」を「about.resource.name」にマッピングしました。

2022-11-24

• 修正:
• 次のフィールドをマッピングして、configurationItem を含む新しい形式のログを解析しました。
• 「configurationItem.awsAccountId」を「principal.user.userid」にマッピングしました。
• 「configurationItem.resourceId」を「target.resource.id」にマッピングしました。
• 「configurationItem.resourceType」を「target.resource.resource_subtype」にマッピングしました
• 「configurationItem.awsRegion」を「target.location.country_or_region」にマッピングしました。
• 「configurationItem.configurationItemCaptureTime」を「target.asset.attribute.creation_time」にマッピングしました。
• 「configurationItem.configurationItemStatus」を「target.asset.attribute.labels」にマッピングしました。
• 「configurationItems.ARN」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.availabilityZone」を「target.resource.attribute.cloud.availability_zone」にマッピングしました。
• 「configurationItems.awsRegion」を「target.location.country_or_region」にマッピングしました。
• 「configurationItems.awsAccountId」を「principal.user.userid」にマッピングしました。
• 「configurationItems.configuration.activityStreamStatus」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.configuration.allocatedStorage」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.configuration.autoMinorVersionUpgrade」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.configuration.backupRetentionPeriod」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.configuration.copyTagsToSnapshot」を「target.resource.attribute.labels」にマッピングしました。
• 「configurationItems.configuration.dbClusterResourceId」を「target.resource.product_object_id」にマッピングしました。
• 「configurationItems.configuration.masterUsername」を「principal.user.user_display_name」にマッピングしました。
• 「configurationItems.resourceName」を「target.resource.name」にマッピングしました。

2022-10-13

• 「eventName」が「CreateAccessKey」の場合、フィールド「responseElements.accessKey.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
• 「eventName」が「UpdateAccessKey」の場合、フィールド「requestParameters.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
• 「eventName」が「DeleteAccessKey」の場合、フィールド「requestParameters.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
• 「eventName」が「CreateUser」の場合、フィールド「responseElements.user.userId」を「target.user.product_object_id」にマッピングしました。
• フィールド「eventTime」を「metadata.collected_timestamp」にマッピングしました。

2022-07-27

• eventType「QueryDatabase」を追加し、そのフィールドをマッピングしました。
• 新しいログを処理するために、principal.ip または principal.host の条件を変更しました。
• 「requestParameters.roleArn」、「requestParameters.registryId」、「resources.accountId」のマッピングを「target.resource.id」から「target.resource.product_object_id」に変更しました。
• 値を抽出するように「req_params」の解析条件を変更しました。

2022-07-08

• 「req.requestParameters.roleName」のマッピングを「target.user.role_name」から「target.user.attribute.roles」に変更しました。

2022-07-06

• 「req.awsRegion」のマッピングを「_principal.location.country_or_region」から「_principal.location.name」に変更しました。
• eventName が「AssumeRole」の場合の event_type を「GENERIC_EVENT」から「USER_LOGIN」に変更しました。
• eventNAme が「PutImage」、「GetDownloadUrlForLayer」、「BatchGetImage」の場合の event_type を「GENERIC_EVENT」から「USER_RESOURCE_ACCESS」に変更しました。
• eventName が「DeleteNetworkInterface」の場合の event_type を「GENERIC_EVENT」から「USER_RESOURCE_DELETION」に変更しました。

2022-06-06

• eventName が「CreateUser/DeleteUser」の場合、新しいログで既存の条件が失敗したため、src マッピングを処理する条件を変更しました。
• 未解析の新しいログを処理するように puserId フィールドを変更しました。

2022-05-27

• 次の未加工ログ要素を UDM 要素にマッピングする機能強化:
• 「awsAccountId」が「target.user.group_identifiers」にマッピングされました。
• 「digestS3Bucket」が「target.resource.name」にマッピングされました。
• 「digestS3Object」が「target.file.full_path」にマッピングされました。
• 「previousDigestHashValue」が「target.file.sha256」にマッピングされました。
• 「digestSignatureAlgorithm」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
• 「digestPublicKeyFingerprint」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
• 「logFiles.s3Bucket」を「about_resource.resource.name」にマッピングしました。
• 「logFiles.s3Object」を「about_resource.file.full_path」にマッピングしました。
• 「logFiles.hashValue」を「about_resource.file.sha256」にマッピング。

2022-05-27

• 機能強化 - metadata.product_name に保存されている値を「AWS CloudTrail」に変更しました。

2022-04-13

• 次の未加工ログ要素を UDM 要素にマッピングする機能強化:
• フィールド「requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls」、「additionalEventData.configRuleInputParameters.RestrictPublicBuckets」、「additionalEventData.configRuleInputParameters.BlockPublicPolicy」、「additionalEventData.configRuleInputParameters.BlockPublicAcls」、「additionalEventData.configRuleInputParameters.IgnorePublicAcls」を「target.resource.attribute.labels」にマッピングしました。