AWS CloudTrail のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、AWS CloudTrail ログとコンテキスト データを Google Security Operations に取り込むように構成する手順について詳しく説明します。この手順は、AWS GuardDuty、AWS VPC Flow、AWS CloudWatch、AWS Security Hub などの他の AWS サービスからログを取り込む場合にも適用されます。
イベントログを取り込むために、この構成では CloudTrail ログを Amazon Simple Storage Service(Amazon S3)バケットに転送します。フィードソースタイプとして、Amazon Simple Queue Service(Amazon SQS)または Amazon S3 を選択できます。
このドキュメントの最初のセクションでは、フィードソース タイプとして Amazon S3 を使用するか、必要に応じて、フィードソース タイプとして Amazon SQS で Amazon S3 を使用してログを取り込む方法について説明します。
後半では、Amazon S3 をフィードソース タイプとして使用するための詳細な手順をスクリーンショットで説明します。このセクションでは Amazon SQS は扱いません。
3 番目のセクションでは、ホスト、サービス、VPC ネットワーク、ユーザーの AWS コンテキスト データを取り込む方法について説明します。
SQS の有無にかかわらず S3 からログを取り込む基本的な手順
このセクションでは、AWS CloudTrail ログを Google Security Operations インスタンスに取り込む基本的な手順について説明します。このステップでは、フィードソースタイプとして Amazon SQS で Amazon S3 を使用するか、必要に応じて、フィードソースタイプとして Amazon S3 を使用して、これを行う方法を説明します。
AWS CloudTrail と S3 を構成する
この手順では、S3 バケットに書き込まれるように AWS CloudTrail ログを構成します。
- AWS コンソールで「CloudTrail」を検索します。
- [Create trail] をクリックします。
- [Trail name] を指定します。
- [新しい S3 バケットを作成する] を選択します。既存の S3 バケットを使用するよう選択することもできます。
- [AWS KMS Alias] の名前を指定するか、既存の [AWS KMS Key] を選択します。
- その他の設定はデフォルトのままにして、[次へ] をクリックします。
- [イベントタイプ] を選択し、必要に応じて [データイベント] を追加して、[次へ] をクリックします。
- [Review and create] で設定を確認し、[Create trail] をクリックします。
- AWS コンソールで「Amazon S3 Buckets」を検索します。
- 新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。[Copy S3 URI] をクリックして、次の手順で使用するために保存します。
SQS キューを作成する
SQS キューを使用することをおすすめします。SQS キューを使用する場合は、FIFO キューではなく標準キューである必要があります。
SQS キューの作成の詳細については、Amazon SQS のスタートガイドをご覧ください。
SQS キューへの通知を設定する
SQS キューを使用する場合は、S3 バケットで通知を設定して、SQS キューに書き込みます。必ずアクセス ポリシーをアタッチしてください。
AWS IAM ユーザーを構成する
Google Security Operations が SQS キュー(使用される場合)と S3 バケットの両方にアクセスするために使用する AWS IAM ユーザーを構成します。
- AWS コンソールで [IAM] を検索します。
- [ユーザー] をクリックし、次の画面で [ユーザーを追加] をクリックします。
- ユーザー名を指定します(例: chronicle-feed-user)。[アクセスキー - プログラムでアクセス] としてAWS 認証情報タイプを選択して、[次へ: 権限] をクリックします。
- 次のステップでは、[既存のポリシーを直接アタッチする] を選択し、必要に応じて [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。AWS S3 のストレージの費用を最適化するために、ログの読み取り後に Google Security Operations が S3 バケットをクリアする場合は、AmazonS3FullAccess が使用されます。
- 前の手順の代わりとして、カスタム ポリシーを作成することで、指定された S3 バケットのみにアクセスをさらに制限できます。[ポリシーを作成] をクリックし、AWS のドキュメントに従ってカスタム ポリシーを作成します。
- ポリシーを適用する際は、
sqs:DeleteMessageが含まれていることを確認してください。sqs:DeleteMessage権限が SQS キューに関連付けられていない場合、Google Security Operations はメッセージを削除できません。すべてのメッセージは AWS 側に蓄積され、Google Security Operations が同じファイルを繰り返し転送しようとするため、遅延が発生します。 - [次へ: タグ] をクリックします。
- 必要に応じてタグを追加し、[次へ: 確認] をクリックします。
- 構成を確認し、[ユーザーを作成] をクリックします。
- 作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーして、次のステップで使用します。
フィードを作成する
上記の手順を完了したら、Amazon S3 バケットから Google Security Operations インスタンスに AWS ログを取り込むフィードを作成します。SQS キューを使用していない場合は、次の手順で、フィードのソースタイプに [Amazon SQS] ではなく [Amazon S3] を選択します。
フィードを作成するには:
- ナビゲーション バーで、[設定] > [SIEM の設定] > [フィード] を選択します。
- [フィード] ページで、[次を追加する] をクリックします。
- [フィードを追加] ダイアログで、[ソースタイプ] ダイアログを使用して [Amazon SQS] または [Amazon S3] を選択します。
- [ログタイプ] メニューで、[AWS CloudTrail](または別の AWS サービス)を選択します。
- [次へ] をクリックします。
フィールドにフィードの入力パラメータを入力します。
フィードソースタイプが Amazon S3 の場合は、次の操作を行います。[リージョン] を選択し、先ほどコピーした Amazon S3 バケットの [S3 URI] を指定します。変数を使用して S3 URI を追加することもできます。
{{datetime("yyyy/MM/dd")}}s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/[URI IS A] では、[サブディレクトリを含むディレクトリ] を選択します。[ソースの削除オプション] で適切なオプションを選択します。先ほど作成した IAM ユーザー アカウントの権限と一致していることを確認します。
以前に作成した IAM ユーザーアカウントのアクセスキー ID とシークレット アクセスキーを指定します。
[Next] をクリックして [Finish] をクリックします。
S3 からログを取り込む詳細な手順
AWS CloudTrail(またはその他のサービス)を構成する
AWS CloudTrail ログを構成し、これらのログを以前の手順で作成した AWS S3 バケットに書き込むようにこれらのログに指示するために、以下の手順を行います。
- AWS コンソールで「CloudTrail」を検索します。
[Create trail] をクリックします。
[Trail name] を指定します。
[新しい S3 バケットを作成する] を選択します。既存の S3 バケットを使用するよう選択することもできます。
[AWS KMS Alias] の名前を指定するか、既存の [AWS KMS Key] を選択します。
その他の設定はデフォルトのままにして、[次へ] をクリックします。
[イベントタイプ] を選択し、必要に応じて [データイベント] を追加して、[次へ] をクリックします。
[Review and create] で設定を確認し、[Create trail] をクリックします。
AWS コンソールで「Amazon S3 Buckets」を検索します。
新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。[Copy S3 URI] をクリックして、次の手順で使用するために保存します。
AWS IAM ユーザーを構成する
このステップでは、Google Security Operations が AWS からログフィードを取得するために使用する AWS IAM ユーザーを構成します。
AWS コンソールで [IAM] を検索します。
[ユーザー] をクリックし、次の画面で [ユーザーを追加] をクリックします。
ユーザー名を指定します(例: chronicle-feed-user)。[アクセスキー - プログラムでアクセス] としてAWS 認証情報タイプを選択して、[次へ: 権限] をクリックします。
次のステップでは、[既存のポリシーを直接アタッチする] を選択し、必要に応じて [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。AWS S3 のストレージの費用を最適化するために、ログの読み取り後に Google Security Operations が S3 バケットをクリアする場合は、AmazonS3FullAccess が使用されます。[次へ: タグ] をクリックします。
前の手順の代わりとして、カスタム ポリシーを作成することで、指定された S3 バケットのみにアクセスをさらに制限できます。[ポリシーを作成] をクリックし、AWS のドキュメントに従ってカスタム ポリシーを作成します。
必要に応じてタグを追加し、[次へ: 確認] をクリックします。
構成を確認し、[ユーザーを作成] をクリックします。
作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーして、次のステップで使用します。
AWS ログを取り込むように Google Security Operations でフィードを構成する
- Google Security Operations の設定に移動し、[フィード] をクリックします。
- [Add New] をクリックします。
- フィードの [ソースタイプ] として [Amazon S3] を選択します。
- [ログタイプ] で [AWS CloudTrail](またはその他の AWS サービス)を選択します。
- [Next] をクリックします。
[リージョン] を選択し、先ほどコピーした Amazon S3 バケットの [S3 URI] を指定します。さらに、次のとおり S3 URI を追加できます。
{{datetime("yyyy/MM/dd","+8H")}}次の例のように、Google Security Operations が特定の 1 日だけ毎回ログをスキャンするようになります。
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd","+8H")}}/[URI IS A] で [サブディレクトリを含むディレクトリ] を選択します。[ソースの削除オプション] で適切なオプションを選択します。これは、先ほど作成した IAM ユーザー アカウントの権限と一致している必要があります。
前に作成した [IAM ユーザー] アカウントの [アクセスキー ID] と [シークレット アクセスキー] を指定します。
[次へ] をクリックして [終了] をクリックします。
AWS コンテキスト データを取り込む手順
AWS エンティティ(ホスト、インスタンス、ユーザーなど)に関するコンテキスト データを取り込むには、次のログタイプごとにフィードを作成します。それは説明と取り込みラベルで一覧表示されます。
- AWS EC2 ホスト(
AWS_EC2_HOSTS) - AWS EC2 インスタンス(
AWS_EC2_INSTANCES) - AWS EC2 VPCS(
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
これらのログタイプごとにフィードを作成するには、以下を行います。
- ナビゲーション バーで、[設定]、[SIEM の設定]、[フィード] の順に選択します。
- [フィード] ページで、[次を追加する] をクリックします。[フィードを追加する] ダイアログが表示されます。
- [ソースタイプ] メニューで [サードパーティ API] を選択します。
- [ログタイプ] メニューで、[AWS EC2 ホスト] を選択します。
- [次へ] をクリックします。
- フィールドにフィード用の入力パラメータを入力します。
- [次へ]、[完了] の順にクリックします。
ログタイプごとにフィードを設定する方法の詳細については、次のフィード管理ドキュメントをご覧ください。
- AWS EC2 ホスト(
AWS_EC2_HOSTS) - AWS EC2 インスタンス(
AWS_EC2_INSTANCES) - AWS EC2 VPCS(
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
フィードの作成に関する一般的な情報については、フィード管理ユーザーガイドまたは フィード管理 API をご覧ください。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の AWS CloudTrail ログを処理します。まず、未加工のログメッセージを抽出して構造化してから、「Records」配列内の各レコードを反復処理し、単一イベントをマルチイベントと同じ形式に正規化します。最後に、抽出されたフィールドを Google Security Operations UDM スキーマにマッピングし、追加のコンテキストとセキュリティ関連の情報でデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| Records.0.additionalEventData .AuthenticationMethod |
additional.fields .AuthenticationMethod.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .CipherSuite |
additional.fields .CipherSuite.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .LoginTo |
additional.fields .LoginTo.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .MFAUsed |
extensions.auth.auth_details | 値が「Yes」の場合、UDM フィールドは「MFAUsed: Yes」に設定されます。それ以外の場合は、「MFAUsed: No」に設定されます。 |
| Records.0.additionalEventData .MobileVersion |
additional.fields .MobileVersion.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .SamlProviderArn |
additional.fields .SamlProviderArn.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .SignatureVersion |
additional.fields .SignatureVersion.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.additionalEventData .bytesTransferredIn |
network.received_bytes | 未加工ログ フィールドから直接マッピングされ、符号なし整数に変換されます。 |
| Records.0.additionalEventData .bytesTransferredOut |
network.sent_bytes | 未加工ログ フィールドから直接マッピングされ、符号なし整数に変換されます。 |
| Records.0.additionalEventData .x-amz-id-2 |
additional.fields .x-amz-id-2.value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.awsRegion | principal.location.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.awsRegion | target.location.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.errorCode | security_result.rule_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.errorMessage | security_result.description | UDM フィールドは、「Reason:」と未加工ログフィールドの値を連結したものに設定されます。 |
| Records.0.eventCategory | security_result.category_details | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.eventID | metadata.product_log_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.eventName | metadata.product_event_type | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.eventName | _metadata.event_type | 未加工ログ フィールドの値に基づいてマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。 |
| Records.0.eventSource | target.application | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.eventSource | metadata.ingestion_labels.EventSource | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.eventTime | metadata.event_timestamp | 未加工ログ フィールドから直接マッピングされ、ISO8601 タイムスタンプとして解析されます。 |
| Records.0.eventVersion | metadata.product_version | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.managementEvent | additional.fields.ManagementEvent .value.string_value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.readOnly | additional.fields.ReadOnly .value.string_value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.recipientAccountId | principal.user.group_identifiers | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.recipientAccountId | target.resource.attribute .labels.Recipient Account Id.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestID | target.resource.attribute .labels.Request ID.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters | target.resource.attribute .labels |
requestParameters 内のさまざまなフィールドは、ターゲット リソース属性内のラベルにマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。 |
| Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters.accessKeyId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.allocationId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.associationId | target.resource.attribute .labels.requestParameters associationId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.certificateId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .configurationRecorder.name |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .configurationRecorderName |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .createVolumePermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .createVolumePermission.add.items.0.userId |
target.resource.attribute .labels.Add Items UserId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .createVolumePermission.remove.items.0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.detectorId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.destinationId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.directoryId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.documentName | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.egress | target.resource.attribute .labels.requestParameters egress.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.emailIdentity | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.enabled | target.resource.attribute .labels.Request Enabled.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value |
target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.functionName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .granteePrincipal |
principal.hostname | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .granteePrincipal |
principal.asset.hostname | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.groupId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.groupName | target.group.group_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.imageId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.instanceId | target.resource_ancestors.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .instanceProfileName |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.instanceType | target.resource.attribute .labels.Instance Type.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .instancesSet.items.0.instanceId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .instancesSet.items.0.maxCount |
target.resource.attribute .labels.Instance Set Max Count.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .instancesSet.items.0.minCount |
target.resource.attribute .labels.Instance Set Min Count.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp |
target.resource.attribute .labels.ipPermissions cidrIp.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.keyId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters. launchPermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn |
target.resource.attribute.labels .Add Items OrganizationalUnitArn .value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters. launchPermission.add.items .0.userId |
target.resource.attribute .labels.Add Items UserId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn |
target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters. launchPermission.remove.items .0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.loadBalancerArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.logGroupIdentifier | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.logGroupName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.name | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.name | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.networkAclId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .networkInterfaceId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.parentId | target.resource_ancestors.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.policyArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .policyArns.0.arn |
target.resource.attribute .labels.Policy ARN 0.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .policyArns.1.arn |
target.resource.attribute .labels.Policy ARN 1.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.policyName | target.resource.attribute .permissions.name |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.policyName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.principalArn | principal.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.publicKeyId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.RegionName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.RegionName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.roleName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.sAMLProviderArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.secretId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.serialNumber | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .serviceSpecificCredentialId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.sendingEnabled | target.resource.attribute .labels.Request Sending Enabled.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.requestParameters.snapshotId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.sSHPublicKeyId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.stackName | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.status | target.resource.attribute .labels.Request Parameter Status.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.subnetId | target.resource.attribute .labels.Subnet Id.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .targets.0.InstanceIds |
target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters .targets.0.key |
target.resource.attribute .labels.requestParameters.targets.0.key.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.trailName | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.userName | target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.volumeId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.requestParameters.withDecryption | security_result.detection_fields .withDecryption.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.responseElements | target.resource.attribute.labels | responseElements 内のさまざまなフィールドは、ターゲット リソース属性内のラベルにマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。 |
| Records.0.responseElements.accessKey.accessKeyId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.accessKey.status | target.resource.attribute .labels.Response Access Key Status.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.accessKey.userName | target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.allocationId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .certificate.certificateId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .certificate.status |
target.resource.attribute .labels.Certificate Status.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .certificate.userName |
target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .credentials.accessKeyId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .credentials.sessionToken |
security_result.detection_fields .sessionToken.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createAccountStatus.accountId |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createCollectionDetail.arn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .createCollectionDetail.id |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .deleteCollectionDetail.id |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.description | target.resource.attribute .labels.Response Elements Description.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.destinationId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.detectorId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.directoryId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .domainStatus.aRN |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .domainStatus.domainId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .federatedUser.arn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .federatedUser.federatedUserId |
target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .firewall.firewallArn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .firewall.firewallId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .firewall.firewallName |
target.resource.attribute .labels.Firewall Name.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .flowLogIdSet.item |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.functionArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .group.arn |
target.group.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .group.groupName |
target.group.group_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .image.imageId.imageDigest |
src.file.sha256 | UDM フィールドは、未加工ログフィールドの「sha256:」の後の値に設定されます。 |
| Records.0.responseElements .image.imageManifestMediaType |
src.file.mime_type | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.instanceArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .instanceProfile.arn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .instancesSet.items.0.instanceId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.keyId | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .keyMetadata.arn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .keyMetadata.encryptionAlgorithms |
security_result.detection_fields .encryptionAlgorithm.value |
UDM フィールドは、未加工ログフィールドの配列内の各要素の値に設定されます。 |
| Records.0.responseElements .keyMetadata.keyId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.keyPairId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .listeners.0.listenerArn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .listeners.0.loadBalancerArn |
target.resource.ancestors.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .loadBalancers.0.loadBalancerArn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.newAssociationId | target.resource.attribute.labels .responseElements newAssociationId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.packedPolicySize | security_result.detection_fields .packedPolicySize.value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.0.responseElements .publicKey.publicKeyId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.sAMLProviderArn | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .sSHPublicKey.sSHPublicKeyId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .sSHPublicKey.status |
target.resource.attribute .labels.SSH Public Key Status.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.groupId |
security_result.rule_labels.Group Id.value | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol |
network.ip_protocol | 未加工ログ フィールドから直接マッピングされ、大文字に変換されます。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.isEgress |
network.direction | 値が「false」の場合、UDM フィールドは「INBOUND」に設定されます。それ以外の場合は「OUTBOUND」に設定されます。 |
| Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId |
security_result.rule_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .serviceSpecificCredential.serviceName |
target.resource.attribute.labels .特定の認証情報 ServiceName .value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .serviceSpecificCredential.serviceUserName |
target.resource.attribute.labels .Specific Credential Service UserName .value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .serviceSpecificCredential.status |
target.resource.attribute .labels.Specific Credential Status.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .serviceSpecificCredential.userName |
target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.snapshotId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.stackId | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .tableDescription.tableArn |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .tableDescription.tableId |
target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.trailARN | target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .user.arn |
target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .user.userId |
target.user.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .user.userName |
target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements .virtualMFADevice.serialNumber |
target.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.responseElements.volumeId | target.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.resources | target.resource | resources 配列の最初の要素は、ターゲット リソースにマッピングされます。その他の要素は about フィールドにマッピングされます。 |
| Records.0.sharedEventID | additional.fields.SharedEventID .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.sourceIPAddress | principal.asset.ip | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.sourceIPAddress | principal.ip | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.sourceIPAddress | src_ip | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.tlsDetails.cipherSuite | network.tls.cipher | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.tlsDetails.clientProvidedHostHeader | security_result.detection_fields .clientProvidedHostHeader.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.tlsDetails.tlsVersion | network.tls.version | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userAgent | network.http.user_agent | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userAgent | network.http.parsed_user_agent | 未加工ログのフィールドから直接マッピングされ、ユーザー エージェント文字列として解析されます。 |
| Records.0.userIdentity.accessKeyId | additional.fields.accessKeyId .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.accountId | principal.resource.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.accountId | principal.user.group_identifiers | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.arn | principal.resource.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.arn | principal.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.arn | target.user.attribute .labels.ARN.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.invokedBy | principal.user.userid | UDM フィールドは、未加工ログフィールドの「.amazonaws.com」の前の値に設定されます。 |
| Records.0.userIdentity.principalId | principal.user.product_object_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.principalId | principal.user.attribute .labels.principalId.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated |
principal.user.attribute .labels.mfaAuthenticated.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.arn |
target.user.attribute .labels.ARN.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.principalId |
target.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.type |
target.user.attribute .labels.Type.value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity .sessionContext.sessionIssuer.userName |
target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.type | principal.resource.resource_subtype | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.type | principal.resource.type | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.userName | principal.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.userName | src.user.userid | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.userName | src.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.0.userIdentity.userName | target.user.user_display_name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .AuthenticationMethod |
additional.fields.AuthenticationMethod .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .CipherSuite |
additional.fields.CipherSuite .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .LoginTo |
additional.fields.LoginTo .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .MFAUsed |
extensions.auth.auth_details | 値が「Yes」の場合、UDM フィールドは「MFAUsed: Yes」に設定されます。それ以外の場合は、「MFAUsed: No」に設定されます。 |
| Records.1.additionalEventData .MobileVersion |
additional.fields.MobileVersion .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .SamlProviderArn |
additional.fields.SamlProviderArn .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .SignatureVersion |
additional.fields.SignatureVersion .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.additionalEventData .bytesTransferredIn |
network.received_bytes | 未加工ログ フィールドから直接マッピングされ、符号なし整数に変換されます。 |
| Records.1.additionalEventData .bytesTransferredOut |
network.sent_bytes | 未加工ログ フィールドから直接マッピングされ、符号なし整数に変換されます。 |
| Records.1.additionalEventData .x-amz-id-2 |
additional.fields.x-amz-id-2 .value.string_value |
未加工ログ フィールドから直接マッピングされます。 |
| Records.1.awsRegion | principal.location.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.awsRegion | target.location.name | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.errorCode | security_result.rule_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.errorMessage | security_result.description | UDM フィールドは、「Reason:」と未加工ログフィールドの値を連結したものに設定されます。 |
| Records.1.eventCategory | security_result.category_details | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.eventID | metadata.product_log_id | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.eventName | metadata.product_event_type | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.eventName | _metadata.event_type | 未加工ログ フィールドの値に基づいてマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。 |
| Records.1.eventSource | target.application | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.eventSource | metadata.ingestion_labels.EventSource | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.eventTime | metadata.event_timestamp | 未加工ログ フィールドから直接マッピングされ、ISO8601 タイムスタンプとして解析されます。 |
| Records.1.eventVersion | metadata.product_version | 未加工ログ フィールドから直接マッピングされます。 |
| Records.1.managementEvent | additional.fields.ManagementEvent .value.string_value |
未加工ログ フィールドから直接マッピングされ、文字列に変換されます。 |
| Records.1.readOnly | additional.fields.ReadOnly .value |
変更点
2024-07-30
- 新しいログを解析するように「src_ip」と「event_type」のマッピングを修正しました。
2024-07-29
- バグの修正:
- 「eventName」が「GetLoginProfile」の場合、「metadata.event_type」を「RESOURCE_READ」にマッピングしました。
2024-07-24
- マッピングを「recipientAccountId」から「userIdentity.accountId」に変更し、「additional.fields」にマッピングしました。
2024-07-23
- 「alert_emails」と「owner_names」を「target.resource.attribute.labels」にマッピングしました。
2024-07-09
- 「eventVersion」を「metadata.product_version」にマッピングしました。
- 「userIdentity.principalId」を「principal.user.attribute.labels」にマッピングしました。
- 「userIdentity.sessionContext.attributes.creationDate」を「principal.user.attribute.creation_time」にマッピングしました。
- 「userIdentity.sessionContext.sessionIssuer.type」を「target.user.attribute.labels」にマッピングしました。
- 「additionalEventData.bytesTransferredIn」を「network.received_bytes」にマッピングしました。
- 「additionalEventData.bytesTransferredOut」を「network.sent_bytes」にマッピングしました。
- 「managementEvent」、「readOnly」、「sharedEventID」、「apiVersion」、「additionalEventData.x-amz-id-2」、「additionalEventData.SignatureVersion」、「additionalEventData.AuthenticationMethod」、「additionalEventData.CipherSuite」、「additionalEventData.sub」を「additional.fields」にマッピングしました。
2024-06-24
- JSON ログの新しいパターンに対応しました。
2024-06-24
- フィールド「principal.resource.type」は非推奨のフィールドであるため、マッピングを「principal.resource.type」から「principal.resource.resource_subtype」に更新しました。
2024-05-21
- 「requestParameters.bucketPolicy.Statement.n.Resource」が配列の場合、「requestParameters.bucketPolicy.Statement.n.Resource」を「additional.fields」にマッピングしました。
2024-05-09
- 「userid」が「^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$」の形式と一致する場合に、「groupid」部分を「principal.user.userid」から「principal.user.groupid」と「principal.user.group_identifiers」にマッピングしました。
2024-04-30
- 「req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress」を「target.resource.attribute.labels」にマッピングしました。
2024-03-22
- 「Noun.user.userid」を「Noun.user.product_object_id」にマッピングしました。
- 「userIdentity.arn」の「RoleName」を「principal.user.role_name」と「principal.user.attribute.roles.name」にマッピングしました。
- 「requestParameters.policyArn」の「PoicyName」を「security_result.rule_name」にマッピングしました。
2024-03-04
- 「eventName」が「TerminateInstances」のログの場合:
- 「responseElements」JSON オブジェクトを「target.resource.attribute.labels」にマッピングしました。
- 「sessionCredentialFromConsole」を「target.resource.attribute.labels」にマッピングしました。
- 「eventName」が「CreateDomain」、「DeleteDomain」、「CreateCollection」のログの場合、
- "DeleteCollection","CreateDBCluster","DeleteDBCluster","StopDBCluster","StartDBCluster",
- 「CreateCluster」、「DeleteCluster」、「ListClusters」、「CreateNodegroup」、「DeleteNodegroup」
- 「RegisterCluster」、「DeregisterCluster」、「DescribeCluster」、「DescribeNodegroup」、「ListNodegroups」。
- 「target.resource.resource_type」を「CLUSTER」に設定します。
2023-11-21
- 「awsRegion」を「target.location.name」にマッピングしました。
- 「eventName」が「PutBucketAcl」のログで、「userIdentity.arn」が存在しない場合、「metadata.event_type」を「STATUS_UPDATE」に変更します。
- 「eventName」が「Get」、「List」、「Describe」、「Detect」、「Query」、「Check」、「Decode」のいずれかの接頭辞であるログの場合、
- 「復号」、「ダウンロード」、「取得」、「読み取り」、「検出」、「検索」、「プレビュー」、「スキャン」、「選択」、「分類」、「表示」、「閲覧」:
- 「metadata.event_type」を「RESOURCE_READ」に設定。
- 「eventName」の接頭辞が「Delete」、「Terminate」のログの場合:
- 「metadata.event_type」を「RESOURCE_DELETION」に設定します。
- 「eventName」が「Create」、「Put」、「Import」、「Generate」、「Allocate」のプレフィックスであるログの場合:
- 「metadata.event_type」を「RESOURCE_CREATION」に設定。
- 「eventName」が「Start」、「Activate」、「Reboot」、「Initialize」、「New」の接頭辞を持つログの場合:
- 「metadata.event_type」を「STATUS_STARTUP」に設定。
- 「eventName」が「Stop」、「Cancel」、「Disconnect」のプレフィックスであるログの場合:
- 「metadata.event_type」を「STATUS_SHUTDOWN」に設定。
- 「eventName」の接頭辞が「Test」、「Accept」、「Notify」、「Request」、「Validate」、「Confirm」、「Reject」、「Verify」、「Authorize」、「Complete」のログの場合:
- 「metadata.event_type」を「STATUS_UPDATE」に設定。
- 「eventName」の接頭辞が「Assume」、「ConsoleLogin」のログの場合:
- 「metadata.event_type」を「USER_LOGIN」に設定します。
- 「eventName」が「SendHeartbeat」のログの場合:
- 「metadata.event_type」を「STATUS_HEARTBEAT」に設定。
- 「eventName」が「Initiate」、「Publish」、「Replace」、「Resume」、「Run」、「Submit」、「Suspend」のプレフィックスであるログの場合、
- 「変更」、「増加」、「招待」、「プロビジョニング」、「更新」、「レポート」、「アップグレード」、「中止」、「適用」、「バックアップ」、「減少」
- 「統合」、「再試行」、「ローテーション」、「ローテーション」、「転送」、「割り当て解除」、「分析」、「アーカイブ」、「ベータ版_」、「消去」、「構成」
- 「Confirm_」、"Do"、"Evaluate"、"Failover"、"Forgot"、"Lock"、"Migrate"、"O"、"Process"、"Promote"、"Release"、"Renew"、
- 「署名」、「アーカイブ解除」、「非推奨を解除」、「ロック解除」、「確認」、「承認」、「接続」、「続行」、「拒否」、「デプロイ」
- 「診断」、「ドロップ」、「終了」、「ファイナライズ」、「フラッシュ」、「忘れる」、「付与」、「発行」、「ログアウト」、「移動」、「オプト」、「一時停止」、
- 「再ビルド」、「利用」、「複製」、「再起動」、「S」、「保存」、「登録」、「同期」、「リンク解除」、「登録解除」、「一時停止を解除」
- 「許可」、「Ato」、「戻る」、「バックトラック」、「入札」、「バインド」、「ビルド」、「バンドル」、「クローン」、「閉じる」、「Cognito」、「コンソール」、「破棄」、
- 「Dissociate」、「End」、「Enroll」、「Enter」、「Environment」、「Event_」、「Exclude」、「Global」、「Include」、「Index」、「Insert」、「Install」、
- 「無効化」、「参加」、「離脱」、「読み込み」、「マネージド」、「マーク」、「モニタリング」、「ピア」、「永続化」、「準備」、「公開鍵」、「パージ」、「プッシュ」
- 「再バランス調整」、「記録」、「復元」、「削除」、「拒否」、「再招待」、「再読み込み」、「名前変更」、「返信」、「再同期」、「廃止」、「元に戻す」、
- 「Rollback」、「Schedule」、「Secret」、「Shutdown」、「Signal」、「Skip」、「Split」、「Stream」、「Swap」、「Switch」、「Toggle」、「Token_」
- 「翻訳」、「切り捨て」、「権限の取り消し」、「デプロイの解除」、「モニタリングの解除」、「ピアの解除」、「使用」:
- 「metadata.event_type」を「RESOURCE_WRITTEN」に設定。
- 「eventName」が「Update」、「Associate」、「Disassociate」、「Modify」、「Set」、「Register」、「Deregister」の接頭辞であるログの場合、
- 「追加」、「削除」、「有効にする」、「無効にする」、「送信」、「復元」、「リセット」、「接続」、「切断」、「エクスポート」、「コピー」、「タグ付け」
- 「タグ付け解除」、「実行」、「購入」、「割り当て」、「無効化」、「投稿」、「再送信」、「アップロード」、「割り当て」、「変更」、「定義」、「
- 「非推奨」、「呼び出し」、「取り消し」:
- 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
2023-11-11
- 重複するマッピングが発生しないように、変数を null または空に初期化します。
- 「requestParameters.tagSpecificationSet.items.key」が「Hostname」の場合は、「target.hostname」にマッピングします。
2023-10-27
- 「eventName」が「AssociateIamInstanceProfile」のログの場合:
- 「responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
- 「responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
- 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
- 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
- 「eventName」が「DisassociateIamInstanceProfile」のログの場合:
- 「responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
- 「responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
- 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
- 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
- 「eventName」が「ReplaceIamInstanceProfileAssociation」のログの場合:
- 「responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.name」にマッピングしました。
- 「responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid」を「target.resource.product_object_id」にマッピングしました。
- 「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定。
- 「target.resource.resource_type」を「ACCESS_POLICY」に設定します。
- 「requestParameters」と「responseElements」の JSON オブジェクトを「target.resource.attribute.labels」にマッピングしました。
- 「req.userIdentity.userName」のタイプミスを「req.userIdentity.username」に修正しました。
2023-10-13
- 「eventName」が「UpdateDetector」のログの場合:
- 「requestParameters.features.name」と「requestParameters.features.status」を「target.resource.attribute.labels」にマッピングしました。
- 「eventName」が「SendCommand」のログの例:
- 「requestParameters.documentName」を「target.resource.product_object_id」にマッピングしました。
- 「responseElements.command.commandId」を「target.process.product_specific_object.id」にマッピングしました。
- 「metadata.event_type」を「PROCESS_LAUNCH」にマッピングしました。
- 「requestParameters.documentName」を「target.resource.name」にマッピングしました。
- 「requestParameters」と「responseElements」のすべてのパラメータを「target.resource.attribute.labels」にマッピングしました。
- 「eventName」が「createAccountResult」のログの場合、「event_type」を「USER_RESOURCE_ACCESS」にマッピングします。
- 「eventName」が「createAccount」のログの場合、「event_type」を「RESOURCE_CREATION」にマッピングします。
2023-09-30
- 次のフィールドに新しいマッピングを追加します。
- 「req.requestParameters.durationSeconds」を「target.resource.attribute.labels」にマッピングしました。
- 「req.requestParameters.policyArns」を「target.resource.attribute.labels」にマッピングしました。
- 「eventName」が「GetParameter」、「GetParameters」、「GetParameterHistory」、「GetParametersByPath」、「DescribeParameters」のログの場合:
- 「metadata.event_type」を「RESOURCE_READ」にマッピングしました。
- 「req.requestParameters.withDecryption」を「security_result.detection_fields」にマッピングしました。
- 「eventName」が「DeleteParameters」、「DeleteParameter」のログの場合、「metadata.event_type」を「RESOURCE_DELETION」に設定しました。
- 「eventName」が「PutParameter」のログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定しました。
- 「eventName」が「EnableRegion」または「DisableRegion」のログの場合は、「req.requestParameters.map.RegionName」から「target.resource.name」を設定します。
- 「eventName」が「GetFederationToken」のログの場合:
- 「metadata.event_type」を「RESOURCE_READ」にマッピングしました。
- 「req.responseElements.federatedUser.arn」を「target.resource.name」にマッピングしました。
- 「req.responseElements.federatedUser.federatedUserId」を「target.user.userid」にマッピングしました。
- 「req.responseElements.packedPolicySize」を「security_result.detection_fields」にマッピングしました。
- 「req.responseElements.credentials.sessionToken」を「security_result.detection_fields」にマッピングしました。
2023-09-15
- 次のフィールドに新しいマッピングを追加します。
- 「requestParameters.userName」を「target.user.user_display_name」にマッピングしました。
- 「additionalEventData.SamlProviderArn」を「additional.fields」にマッピングしました。
- 「eventSource」を「metadata.ingestion_labels」にマッピングしました。
- 「requestParameters.tagSpecificationSet.items.tags.key」の値が「Name」の場合、「requestParameters.tagSpecificationSet.items.tags.value」を「target.resource.name」にマッピングしました。
2023-08-24
- 「eventName」が「CreateFirewall」または「DeleteFirewall」のログの場合:
- 「responseElements.firewallARN」を「target.resource.name」にマッピングしました。
- 「responseElements.firewallId」を「target.resource.product_object_id」にマッピングしました。
- 「responseElements.firewallName」を「target.resource.attribute.labels」にマッピングしました。
- 「target.resource_subtype」を「ファイアウォール」にマッピングしました。
- 「target.resource.resource_type」を「FIREWALL_RULE」にマッピングしました。
2023-08-24
- 「eventName」が「CreateSubnet」のログの場合、「metadata.event_type」を「RESOURCE_CREATION」に設定しました。
- 「req.responseElements.subnet.subnetId」を「target.resource.attribute.labels」にマッピングしました。
- 「req.requestParameters.cidrBlock」を「target.resource.attribute.labels」にマッピングしました。
- 「eventName」が「DeleteSubnet」のログの場合、「metadata.event_type」を「RESOURCE_DELETION」に設定しました。
- 「req.requestParameters.subnetId」を「target.resource.attribute.labels」にマッピングしました。
2023-08-16
- 「eventName」が「DeleteSecret」のログの場合、「responseElements.arn」を「target.resource.name」にマッピングしました。
2023-08-02
- 「eventName」が「CreateTags」のログについて、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
- 「responseElements.description」、「requestParameters.name」、「requestParameters.tagSet.items」、「requestParameters.attributeType」を「target.resource.attribute.labels」にマッピングしました。
- 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_CREATION」に設定しました。
- 「CreateNetworkAcl」、「CreateVolume」、「CreatePublishingDestination」、「CreateIPSet」、「CreateThreatIntelSet」
- 「CreateAddon」、「CreateRepository」、「CreateStack」、「CreateDomain」、「CreateCollection」、「CreateTable」
- "CreateDBInstance","CreateDBCluster","CreateDBSnapshot","CreateDBClusterSnapshot","PutConfigRule",
- "PutDeliveryChannel"、"CreateListener"、"CreateLoadBalancer"、"PutLoggingConfiguration"、"CreateTargetGroup"、
- 「CreateWebACL」、「RequestCertificate」、「CreateCluster」
- 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_WRITTEN」に設定しました。
- 「MoveAccount」、「PutEventSelectors」、「PutInsightSelectors」、「UpdateIPSet」、「UpdateThreatIntelSet」、「CreateTags」、
- "UpdateTable","ModifyDBInstance","StopDBInstance","StartDBInstance","RebootDBInstance",
- "StartDBCluster","StopDBCluster","ModifyDBSnapshotAttribute","ModifyDBClusterSnapshotAttribute",
- "AddListenerCertificates","ModifyLoadBalancerAttributes","SetSubnets","SetSecurityGroups",
- "ModifyListener","UpdateWebACL","ResendValidationEmail","ModifyInstanceAttribute",
- 「StopInstances」、「StartInstances」、「RebootInstances」
- 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_WRITTEN」に設定しました。
- 「DeletePublishingDestination」、「DeleteIPSet」、「DeleteThreatIntelSet」、「DeleteRepository」
- 「DeleteStack」、「DeleteCollection」、「DeleteDomain」、「DeleteTable」、「DeleteDBInstance」、「DeleteDBCluster」
- "DeleteDBSnapshot","DeleteDBClusterSnapshot","DeleteConfigRule","DeleteEvaluationResults",
- 「DeleteTargetGroup」、「DeleteLoadBalancer」、「DeleteListener」、「DeleteLoggingConfiguration」
- 「DeleteWebACL」、「DeleteCertificate」、「DeleteCluster」
- 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」に設定しました。
- 「AssociateWebACL」、「DisassociateWebACL」、「AttachGroupPolicy」、「PutBucketAcl」
- 次の「eventName」を持つログの「metadata.event_type」を「RESOURCE_READ」に設定しました。
- 「GetPasswordData」、「GetSessionToken」
- 上記のイベント名の「target.resource.resource_type」と他の未マッピング フィールドをマッピングしました。
2023-07-18
- 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_CREATION」にマッピングしました。
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization", "CreateNetworkInterface",
- 「StartSSO」、「CreateEmailIdentity」、「VerifyDomainIdentity」、「VerifyDomainDkim」、「VerifyEmailIdentity」
- "CreateConfigurationSet"、"CreateSecret"、"ImportKeyPair"、"CreateAlias"、"CreateKey"、"CreateOrganizationalUnit"、
- 「CreateNetworkAcl」、「CreateVolume」、「CreatePublishingDestination」、「CreateIPSet」、「CreateThreatIntelSet」
- 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
- "UpdateMacieSession","PutAccountSendingAttributes","PutConfigurationSetSendingOptions","UpdateAccountSendingEnabled",
- "UpdateConfigurationSetSendingEnabled","UpdateSecret","DisableKey","EnableKey","CancelKeyDeletion",
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet"
- 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_DELETION」にマッピングしました。
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances", "RESOURCE_DELETION",
- "DeleteNetworkInterface","DeleteSSO","DeleteBucketPublicAccessBlock","DeleteAccountPublicAccessBlock",
- 「RemoveAccountFromOrganization」、「DeleteEmailIdentity」、「LeaveOrganization」、「DeleteConfigurationSet」
- 「DeleteSecret」、「DeleteKeyPair」、「DeleteAlias」、「ScheduleKeyDeletion」、「DeleteNetworkAcl」
- 「DeletePublishingDestination」、「DeleteIPSet」、「DeleteThreatIntelSet」
- 次の「eventName」を含むログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」にマッピングしました。
- 「DetachRolePolicy」、「PutRolePolicy」、「PutResourcePolicy」、「PutCredentials」、「DeleteDirectory」
- "AuthorizeSecurityGroupEgress","AuthorizeSecurityGroupIngress","RevokeSecurityGroupEgress","RevokeSecurityGroupIngress",
- "ModifySnapshotAttribute","ModifyImageAttribute","CreateNetworkAclEntry","ReplaceNetworkAclAssociation","DeleteNetworkAclEntry"
- 上記の eventName の「target.resource.resource_type」と他の未マッピング フィールドをマッピングしました。
- フィールド「userIdentity.invokedBy」のマッピング前に null チェックを追加しました。
2023-07-06
- フィールド「userIdentity.invokedBy」のマッピング前に null チェックを追加しました。
- 「requestParameters.instanceType」、「requestParameters.instancesSet.items.0.minCount」、「requestParameters.instancesSet.items.0.maxCount」を「target.resource.attribute.labels」にマッピングしました。
2023-06-23
- フィールド「eventname」に基づいて、ログをより具体的な「metadata.event_type」にマッピングしました。
- 「target.resource.resource_type」を「VIRTUAL_MACHINE」にマッピングしました。
- 「requestParameters.status」、「responseElements.certificate.status」を「target.resource.attribute.labels」にマッピングしました。
- 「requestParameters.instanceId」を「target.resource_ancestors.product_object_id」にマッピングしました。
- 「requestParameters.userName」を「target.user.userid」にマッピングしました。
- 各「eventName」の下にあるキーに基づいて、「target.resource.name」と「target.resource.product_object_id」をマッピングしました。
- 「userIdentity.arn」を「principal.resource.name」にマッピングしました。
- 「userIdentity.accountId」を「principal.resource.product_object_id」にマッピングしました。
- 次のような「eventName」を持つログの場合、「metadata.event_type」を「RESOURCE_CREATION」にマッピングしました。
- "CreateTrail","AllocateAddress","CreateVolume","CreateVirtualMFADevice","UploadSigningCertificate",
- "CreateAccessKey","UploadSSHPublicKey","CreateServiceSpecificCredential","UploadCloudFrontPublicKey",
- 「CreateAnalyzer」、「CreateSAMLProvider」、「PutConfigurationRecorder」、「CreateRole」、「CreateInstanceProfile」
- "CreateExportTask","CreateLogGroup","EnableSecurityHub","CreateEnvironment","CreateSession","CreateServiceLinkedRole",
- 「CreateSnapshot」、「CreateKeyPair」、「CreateSecurityGroup」、「CreateDetector」、「CreateFlowLogs」
- 「EnableMacie」、「ConnectDirectory」、「RunInstances」、「CreateImage」、「CreateOrganization」
- 次のような「eventName」を持つログの場合、「metadata.event_type」を「RESOURCE_WRITTEN」にマッピングしました。
- 「StartLogging」、「StopLogging」、「AssociateAddress」、「DisassociateAddress」、「DetachVolume」
- "AttachVolume"、"ModifyVolume"、"EnableMFADevice"、"ResyncMFADevice"、"UpdateSigningCertificate",
- "UpdateAccessKey","UpdateSSHPublicKey","ResetServiceSpecificCredential","UpdateServiceSpecificCredential",
- "UpdateCloudFrontPublicKey","DisableRegion","EnableRegion","UpdateSAMLProvider","StartConfigurationRecorder",
- 「StopConfigurationRecorder」、「PutRetentionPolicy」、「PutDataProtectionPolicy」、「UpdateDetector」、「UpdateMacieSession」
- 「eventName」が次のようなログの場合、「metadata.event_type」を「RESOURCE_DELETION」にマッピングしました。
- "DeleteTrail"、"ReleaseAddress"、"DeleteVolume"、"DeactivateMFADevice"、"DeleteVirtualMFADevice"、
- 「DeleteSigningCertificate」、「DeleteAccessKey」、「DeleteSSHPublicKey」、「DeleteServiceSpecificCredential」
- "DeleteCloudFrontPublicKey"、"DeleteAnalyzer"、"DeleteSAMLProvider"、"DeleteConfigurationRecorder"、
- 「DeletePolicy」、「DeleteRole」、「DeleteInstanceProfile」、「DeleteLogGroup」、「DisableSecurityHub」、「DisableMacie」
- 「DeleteSnapshot」、「DeleteDetector」、「DeleteFlowLogs」、「DeregisterImage」、「TerminateInstances」
- 「eventName」が次のようなログの場合、「metadata.event_type」を「RESOURCE_PERMISSIONS_CHANGE」にマッピングしました。
- "AttachUserPolicy","DetachUserPolicy","PutUserPolicy","DeleteUserPolicy",
- "PutUserPermissionsBoundary","DeleteUserPermissionsBoundary","AttachRolePolicy",
- 「DetachRolePolicy」、「PutRolePolicy」、「PutResourcePolicy」、「PutCredentials」、「DeleteDirectory」
2023-06-09
- JSON 配列ログを識別するように正規表現を変更しました。
2023-06-07
- すべての「principal.user」フィールドを「target.user」にマッピングし、「eventName」が「ConsoleLogin」の場合に「ConsoleLogin」にマッピングしました。
2023-05-26
- さまざまな JSON パターンのログが解析されます。
- 「cipherSuite」を「network.tls.cipher」にマッピングしました。
- 「requestID」を「target.resource.attribute.labels」にマッピングしました。
- 「assumedRoleId」を「security_result.about.resource.name」にマッピングしました。
- 「roleSessionName」を「target.resource.name」にマッピングしました。
- 「roleArn」を「target.resource.product_object_id」にマッピングしました。
- 「userAgent」を「network.http.user_agent」にマッピングしました。
- 「sourceIPAddress」を「principal.ip」にマッピングしました。
- 「sessionIssuer.userName」を「target.user.user_display_name」にマッピングしました。
- 「sessionIssuer.principalId」を「target.user.userid」にマッピングしました。
- 「userIdentity.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「userIdentity.arn」を「security_result.about.resource.id」にマッピングしました。
- 「req.detail.Longitude」を「_principal.location.region_longitude」にマッピングしました。
- 「req.detail.Latitude」を「_principal.location.region_latitude」にマッピングしました。
- 「detail.resourceType」を「target.resource.resource_subtype」にマッピングしました。
- 「security_result.alert_state」を「ALERTING」に設定します。
- 「req.detail.recommendRemediation」を「security_result.action_details」にマッピングしました。
- 「eventLog.detail.eventName」を「metadata.product_event_type」にマッピングしました。
2023-02-23
- 「requestParameters.principalArn」を「principal.resource.name」にマッピングしました。
- 「resources.ARN」を「about.resource.name」にマッピングしました。
2022-11-24
- 修正:
- 次のフィールドをマッピングして、configurationItem を含む新しい形式のログを解析しました。
- 「configurationItem.awsAccountId」を「principal.user.userid」にマッピングしました。
- 「configurationItem.resourceId」を「target.resource.id」にマッピングしました。
- 「configurationItem.resourceType」を「target.resource.resource_subtype」にマッピングしました
- 「configurationItem.awsRegion」を「target.location.country_or_region」にマッピングしました。
- 「configurationItem.configurationItemCaptureTime」を「target.asset.attribute.creation_time」にマッピングしました。
- 「configurationItem.configurationItemStatus」を「target.asset.attribute.labels」にマッピングしました。
- 「configurationItems.ARN」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.availabilityZone」を「target.resource.attribute.cloud.availability_zone」にマッピングしました。
- 「configurationItems.awsRegion」を「target.location.country_or_region」にマッピングしました。
- 「configurationItems.awsAccountId」を「principal.user.userid」にマッピングしました。
- 「configurationItems.configuration.activityStreamStatus」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.configuration.allocatedStorage」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.configuration.autoMinorVersionUpgrade」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.configuration.backupRetentionPeriod」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.configuration.copyTagsToSnapshot」を「target.resource.attribute.labels」にマッピングしました。
- 「configurationItems.configuration.dbClusterResourceId」を「target.resource.product_object_id」にマッピングしました。
- 「configurationItems.configuration.masterUsername」を「principal.user.user_display_name」にマッピングしました。
- 「configurationItems.resourceName」を「target.resource.name」にマッピングしました。
2022-10-13
- 「eventName」が「CreateAccessKey」の場合、フィールド「responseElements.accessKey.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「eventName」が「UpdateAccessKey」の場合、フィールド「requestParameters.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「eventName」が「DeleteAccessKey」の場合、フィールド「requestParameters.accessKeyId」を「target.resource.product_object_id」にマッピングしました。
- 「eventName」が「CreateUser」の場合、フィールド「responseElements.user.userId」を「target.user.product_object_id」にマッピングしました。
- フィールド「eventTime」を「metadata.collected_timestamp」にマッピングしました。
2022-07-27
- eventType「QueryDatabase」を追加し、そのフィールドをマッピングしました。
- 新しいログを処理するために、principal.ip または principal.host の条件を変更しました。
- 「requestParameters.roleArn」、「requestParameters.registryId」、「resources.accountId」のマッピングを「target.resource.id」から「target.resource.product_object_id」に変更しました。
- 値を抽出するように「req_params」の解析条件を変更しました。
2022-07-08
- 「req.requestParameters.roleName」のマッピングを「target.user.role_name」から「target.user.attribute.roles」に変更しました。
2022-07-06
- 「req.awsRegion」のマッピングを「_principal.location.country_or_region」から「_principal.location.name」に変更しました。
- eventName が「AssumeRole」の場合に、event_type を「GENERIC_EVENT」から「USER_LOGIN」に変更しました。
- eventNAme が「PutImage」、「GetDownloadUrlForLayer」、「BatchGetImage」の場合に、event_type を「GENERIC_EVENT」から「USER_RESOURCE_ACCESS」に変更しました。
- eventName が「DeleteNetworkInterface」の場合の event_type を「GENERIC_EVENT」から「USER_RESOURCE_DELETION」に変更しました。
2022-06-06
- eventName が「CreateUser/DeleteUser」の場合、新しいログで既存の条件が失敗したため、src マッピングを処理する条件を変更しました。
- 未解析の新しいログを処理するように puserId フィールドを変更しました。
2022-05-27
- 次の未加工ログ要素を UDM 要素にマッピングするための機能強化:
- 「awsAccountId」を「target.user.group_identifiers」にマッピングしました。
- 「digestS3Bucket」を「target.resource.name」にマッピングしました。
- 「digestS3Object」を「target.file.full_path」にマッピングしました。
- 「previousDigestHashValue」を「target.file.sha256」にマッピングしました。
- 「digestSignatureAlgorithm」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
- 「digestPublicKeyFingerprint」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
- 「logFiles.s3Bucket」を「about_resource.resource.name」にマッピングしました。
- 「logFiles.s3Object」を「about_resource.file.full_path」にマッピングしました。
- 「logFiles.hashValue」を「about_resource.file.sha256」にマッピングしました。
2022-05-27
- 機能強化 - metadata.product_name に保存されている値を「AWS CloudTrail」に変更しました。
2022-04-13
- 次の未加工ログ要素を UDM 要素にマッピングするための機能強化:
- フィールド「requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls」、「requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls」、「additionalEventData.configRuleInputParameters.RestrictPublicBuckets」、「additionalEventData.configRuleInputParameters.BlockPublicPolicy」、「additionalEventData.configRuleInputParameters.BlockPublicAcls」、「additionalEventData.configRuleInputParameters.IgnorePublicAcls」を「target.resource.attribute.labels」にマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。