FALCO_IDS の変更ログ

Date 変更点
2023-05-23 「output」フィールドから「host-IP」フィールドと「host-name」フィールドが抽出されマッピングされました。
event_type を「GENERIC_EVENT」から関連する「metadata.event_type」に可能な限り変更しました。
2022-08-26 「priority」が「resource.attributes.labels」にマッピングし、キーを優先としました。
output_fields.email を target.email にマッピングする前に、それがメール形式かどうかを確認する条件を追加しました。
2022-08-01 「output」を「metadata.description」にマッピングしました
「priority」を「security_result.priority」と「security_result.severity」にマッピングしました
「rule」を「security_result.rule_name」にマッピングしました
「time」を「date」にマッピングしました
「output_fields.bl-ssr」を「target.resource.name」にマッピングしました
「output_fields.cloud-project-id」を「observer.cloud.project.id」にマッピングしました
「output_fields.cloud-provider」を「target.resource.attribute.cloud.environment」にマッピングしました
「output_fields.container.id」を「target.asset.asset_id」にマッピングしました
「output_fields.container.image.repository」を「target.file.full_path」にマッピングしました
「output_fields.email」を「target.email」にマッピングしました
「output_fields.evt.arg.fd」を「resource.attributes.labels」にマッピングし、キーを「evt_arg_fd」としました
「output_fields.evt.arg.filename」を「resource.attribute.labels」と「evt_arg_filename」にマッピングしました
「output_fields.evt.arg.mode」を「resource.attribute.labels」と「evt_arg_mode」にマッピングしました
「output_fields.fd.name」を「resource.attribute.labels」と「fd_name」にマッピングしました
「output_fields.host-ip」を「target.ip」にマッピングしました
「output_fields.host-name」を「target.hostname」にマッピングしました
「output_fields.k8s.ns.name」を「additional.fields」にマッピングし、キーを「k8s_ns_name」としました
「output_fields.k8s.pod.name」を「additional.fields」にマッピングし、キーを「k8s_pod_name」としました
「output_fields.ol-env」を「resource.attribute.labels」にマッピングし、キーを「ol-env」としました
「output_fields.pod-ip」を「observer.ip」にマッピングしました
「output_fields.pod-name」を「observer.hostname」にマッピングしました
「output_fields.proc.cmdline」を「target.resource.attribute.labels」にマッピングし、キーを「proc_cmdline」としました
「output_fields.user.loginuid」を「target.user.userid」にマッピングしました
「output_fields.user.name」を「principal.user.user_display_name」にマッピングしました
「output_fields.ebpf_enabled」を「target.resource.attribute.labels」にマッピングし、キーを「ebpf_enabled」としました。
「output_fields.falco.contact」を「principal.user.email_addresses」にマッピングしました
「output_fields.falco.host.ip」を「principal.ip」にマッピングしました
「output_fields.falco.host.name」を「principal.hostname」にマッピングしました
「output_fields.falco.pod.ip」を「observer.ip」にマッピングしました
「output_fields.falco.pod.name」を「observer.hostname」にマッピングしました
「output_fields.falco.ssrid」を「resource.product_object_id」にマッピングしました
「output_fields.tags」を「target.labels」にマッピングし、キーを「tags」としました