AWS CloudWatch ログを収集する

以下でサポートされています。

このドキュメントでは、Amazon S3 を使用して AWS CloudWatch ログを Google Security Operations に取り込む方法について説明します。

AWS CloudWatch は、AWS リソースとアプリケーションからログ、指標、イベントの形式で運用データを収集するモニタリングとオブザーバビリティのサービスです。この統合では、Amazon Data Firehose を使用して CloudWatch ログデータを S3 バケットにストリーミングし、Google SecOps は Amazon S3 V2 フィードを使用して取り込みます。

始める前に

  • Google SecOps インスタンス
  • AWS Management Console への特権アクセス。次の管理権限が必要です。
    • Amazon CloudWatch Logs(ロググループ、サブスクリプション フィルタ)
    • Amazon Data Firehose(配信ストリーム)
    • Amazon S3(バケット)
    • AWS IAM(ロール、ポリシー、ユーザー)

AWS S3 バケットを構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. バケットの名前リージョンを保存して、後で参照できるようにします(例: cwlogs-to-secops)。

Amazon Data Firehose の IAM ロールを構成する

Amazon Data Firehose では、S3 バケットにログを書き込むために IAM ロールが必要です。

IAM ポリシーを作成する

  1. AWS コンソールで、[IAM] > [ポリシー] > [ポリシーを作成] に移動します。
  2. [JSON] タブを選択します。

  3. 次のポリシーを貼り付けます(cwlogs-to-secops は実際のバケット名に置き換えます)。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Delivery",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::cwlogs-to-secops",
                "arn:aws:s3:::cwlogs-to-secops/*"
            ]
        },
        {
            "Sid": "CloudWatchLogging",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/cwlogs-to-secops:log-stream:*"
        }
    ]
}

  4. [次へ] をクリックします。

  5. [Policy name] フィールドに「FirehoseS3DeliveryPolicy」と入力します。

  6. [ポリシーを作成] をクリックします。

IAM ロールを作成する

  1. [IAM]> [ロール]> [ロールを作成] に移動します。
  2. [カスタム信頼ポリシー] を選択します。

  3. 次の信頼ポリシーを貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "firehose.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. [次へ] をクリックします。

  5. FirehoseS3DeliveryPolicy を検索して選択します。

  6. [次へ] をクリックします。

  7. [ロール名] フィールドに「FirehoseToS3Role」と入力します。

  8. [ロールを作成] をクリックします。

Amazon Data Firehose ストリームを作成する

  1. https://console.aws.amazon.com/kinesisKinesis コンソールを開きます。
  2. ナビゲーション パネルで [Amazon Data Firehose] を選択します。
  3. [Firehose ストリームを作成] をクリックします。
  4. [移行元と移行先を選択] で、次の構成を指定します。
    • ソース: [Direct PUT] を選択します。
    • 宛先: [Amazon S3] を選択します。
  5. [Firehose ストリーム名] フィールドに「cwlogs-to-secops」と入力します。

  6. [レコードを変換] の [Amazon CloudWatch Logs からソースレコードを解凍する] セクションで、次の操作を行います。

    1. [解凍をオンにする] を選択します。
    2. [メッセージ抽出を有効にする] は選択しないでください。

  7. [宛先の設定] で、次の操作を行います。

    • S3 バケット: S3 バケット cwlogs-to-secops を選択します。
    • S3 バケットの接頭辞(省略可): cloudwatch-logs/ と入力します。
    • S3 バケットのエラー出力プレフィックス(省略可): firehose-errors/ と入力します。

  8. [バッファのヒント] で、次の操作を行います。

    • バッファサイズ: 5 MiB(デフォルト)。
    • バッファ間隔: 300 秒(デフォルト)。

  9. [詳細設定] で、以下の操作を行います。

    • サーバーサイド暗号化: 省略可。暗号化が必要な場合は有効にします。
    • エラー ロギング: [有効] を選択します(推奨)。
    • 権限: [既存の IAM ロールを選択] を選択し、FirehoseToS3Role を選択します。

  10. [Firehose ストリームを作成] をクリックします。

  11. ストリームの [ステータス] が [アクティブ] になるまで待ちます。

CloudWatch Logs の IAM ロールを構成する

CloudWatch Logs では、ログデータを Firehose ストリームに送信するために IAM ロールが必要です。

IAM ポリシーを作成する

  1. [IAM] > [ポリシー] > [ポリシーを作成] に移動します。
  2. [JSON] タブを選択します。

  3. 次のポリシーを貼り付けます(<region><account-id> は、AWS リージョンとアカウント ID に置き換えます)。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
        }
    ]
}

  4. [次へ] をクリックします。

  5. [Policy name] フィールドに「CWLtoFirehoseWritePolicy」と入力します。

  6. [ポリシーを作成] をクリックします。

IAM ロールを作成する

  1. [IAM]> [ロール]> [ロールを作成] に移動します。
  2. [カスタム信頼ポリシー] を選択します。

  3. 次の信頼ポリシーを貼り付けます(<region> は AWS リージョンに置き換えます)。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.<region>.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. [次へ] をクリックします。

  5. CWLtoFirehoseWritePolicy を検索して選択します。

  6. [次へ] をクリックします。

  7. [ロール名] フィールドに「CWLtoFirehoseRole」と入力します。

  8. [ロールを作成] をクリックします。

CloudWatch Logs サブスクリプション フィルタを作成する

  1. AWS コンソールで、[CloudWatch] > [ログ] > [ロググループ] に移動します。
  2. Google SecOps にストリーミングするターゲット ロググループを選択します。
  3. [サブスクリプション フィルタ] タブを選択します。
  4. [作成> Amazon Data Firehose サブスクリプション フィルタを作成] をクリックします。
  5. 次の構成の詳細を指定します。
    • 宛先: Firehose ストリーム cwlogs-to-secops を選択します。
    • 権限を付与: ロール CWLtoFirehoseRole を選択します。
    • サブスクリプション フィルタ名: わかりやすい名前を入力します(例: secops-all-events)。
    • ログ形式: [その他] を選択します。
    • サブスクリプション フィルタ パターン: すべてのイベントを送信する場合は空白のままにします。特定のイベントのみを送信する場合は、フィルタ パターンを入力します。

  6. [ストリーミングを開始] をクリックします。

Google SecOps 用に IAM ユーザーを構成する

Google SecOps は、配信されたログを取り込むために、S3 バケットにアクセスできる IAM ユーザーを必要とします。

  1. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  2. 作成した [User] を選択します。
  3. [セキュリティ認証情報] タブを選択します。
  4. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  5. [ユースケース] で [サードパーティ サービス] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 説明タグを追加します。
  8. [アクセスキーを作成] をクリックします。
  9. [.csv ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、今後の参照に備えます。
  10. [完了] をクリックします。
  11. [権限] タブを選択します。
  12. [権限ポリシー] セクションで [権限を追加] をクリックします。
  13. [権限を追加] を選択します。
  14. [ポリシーを直接アタッチする] を選択します。
  15. AmazonS3FullAccess ポリシーを検索します。
  16. ポリシーを選択します。
  17. [次へ] をクリックします。
  18. [権限を追加] をクリックします。

AWS CloudWatch のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一フィードを設定] をクリックします。
  4. [Feed name] に一意の名前を入力します。
  5. [ソースタイプ] として [Amazon S3 V2] を選択します。
  6. [Log type] として [AWS CloudWatch] を選択します。
  7. [次へ] をクリックしてから、[送信] をクリックします。
  8. 次のフィールドに値を指定します。
    • S3 URI: s3://cwlogs-to-secops/cloudwatch-logs/
    • Source deletion option: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます(デフォルトは 180 日)。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  9. [次へ] をクリックしてから、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
account principal.user.userid 未加工ログの account の値は、principal.user.userid フィールドにマッピングされます。
account_id principal.user.userid 未加工ログの account_id の値は、principal.user.userid フィールドにマッピングされます。
AlertId metadata.product_log_id 未加工ログの AlertId の値は、metadata.product_log_id フィールドにマッピングされます。
arrivalTimestamp metadata.event_timestamp 未加工ログの arrivalTimestamp の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
attemptsMade additional.fields 未加工ログの attemptsMade の値は文字列に変換され、キー「Attempts Made」で Key-Value ペアとして additional.fields に追加されます。
awsAccountId principal.asset_id 未加工ログの awsAccountId の値に「AWS Account id:」が追加され、principal.asset_id フィールドにマッピングされます。
billed_duration additional.fields 未加工ログの billed_duration の値は、キー「billed_duration」で Key-Value ペアとして additional.fields に追加されます。
BytesIn network.received_bytes 未加工ログの BytesIn の値は符号なし整数に変換され、network.received_bytes フィールドにマッピングされます。
cipher network.tls.cipher 未加工ログの cipher の値は、network.tls.cipher フィールドにマッピングされます。
Ciphers network.tls.client.supported_ciphers 未加工ログの Ciphers の値がカンマで分割され、各値が network.tls.client.supported_ciphers 配列に追加されます。
cloudwatchLog security_result.description 未加工ログの cloudwatchLog の値は、security_result.description フィールドにマッピングされます。
CloudAccountId metadata.product_deployment_id 未加工ログの CloudAccountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
CloudType target.resource.attribute.cloud.environment 未加工ログの CloudType の値によって、target.resource.attribute.cloud.environment の値が決まります。CloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」です。CloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」です。CloudType が「azure」の場合、値は「MICROSOFT_AZURE」です。
Context.Execution.Id target.resource.attribute.labels 未加工ログの Context.Execution.Id の値は、キー「Context Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.Name target.resource.attribute.labels 未加工ログの Context.Execution.Name の値は、キー「Context Name」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
Context.Execution.RoleArn target.resource.product_object_id 未加工ログの Context.Execution.RoleArn の値は、target.resource.product_object_id フィールドにマッピングされます。
descr metadata.description 未加工ログの descr の値は、余分な空白を削除した後、「-」でない限り metadata.description フィールドにマッピングされます。descr が空の場合、代わりに log の値が使用されます。
destination.name target.location.country_or_region 未加工ログの destination.name の値は、target.location.country_or_region フィールドにマッピングされます。
destination.properties.prefix target.resource.attribute.labels 未加工ログの destination.properties.prefix の値は、キー「宛先プロパティの接頭辞」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.additionalEventData.configRuleArn security_result.rule_id 未加工ログの detail.additionalEventData.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.additionalEventData.configRuleName security_result.rule_name 未加工ログの detail.additionalEventData.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.additionalEventData.managedRuleIdentifier additional.fields 未加工ログの detail.additionalEventData.managedRuleIdentifier の値は、キー「managedRuleIdentifier」で Key-Value ペアとして additional.fields に追加されます。
detail.additionalEventData.notificationJobType additional.fields 未加工ログの detail.additionalEventData.notificationJobType の値は、キー「notificationJobType」で Key-Value ペアとして additional.fields に追加されます。
detail.awsAccountId principal.asset_id 未加工ログの detail.awsAccountId の値に「AWS Account id:」が追加され、principal.asset_id フィールドにマッピングされます。
detail.awsRegion principal.location.name 未加工ログの detail.awsRegion の値は、principal.location.name フィールドにマッピングされます。
detail.configRuleArn security_result.rule_id 未加工ログの detail.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.configRuleName security_result.rule_name 未加工ログの detail.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。
detail.configurationItem.awsAccountId principal.user.userid 未加工ログの detail.configurationItem.awsAccountId の値は、principal.user.userid フィールドにマッピングされます。
detail.configurationItem.awsRegion target.location.country_or_region 未加工ログの detail.configurationItem.awsRegion の値は、target.location.country_or_region フィールドにマッピングされます。
detail.configurationItem.configuration.complianceType security_result.summary 未加工ログの detail.configurationItem.configuration.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceId の値は、キー「configurationItem configuration targetResourceId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels 未加工ログの detail.configurationItem.configuration.targetResourceType の値は、キー「configurationItem configuration targetResourceType」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time 未加工ログの detail.configurationItem.configurationItemCaptureTime の値はタイムスタンプに変換され、_target.asset.attribute.creation_time フィールドにマッピングされます。
detail.configurationItem.configurationItemStatus target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationItemStatus の値は、キー「configurationItem configurationItemStatus」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.configurationStateId target.resource.attribute.labels 未加工ログの detail.configurationItem.configurationStateId の値は文字列に変換され、キー「configurationItem configurationStateId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.configurationItem.resourceId target.resource.id 未加工ログの detail.configurationItem.resourceId の値は、target.resource.id フィールドにマッピングされます。
detail.configurationItem.resourceType target.resource.resource_subtype 未加工ログの detail.configurationItem.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id 未加工ログの detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。
detail.eventCategory security_result.category_details 未加工ログの detail.eventCategory の値は、security_result.category_details フィールドにマッピングされます。
detail.eventID metadata.product_log_id 未加工ログの detail.eventID の値は、metadata.product_log_id フィールドにマッピングされます。
detail.eventName additional.fields 未加工ログの detail.eventName の値は、キー「Event Name」で Key-Value ペアとして additional.fields に追加されます。
detail.eventSource target.application 未加工ログの detail.eventSource の値は、target.application フィールドにマッピングされます。
detail.eventType additional.fields 未加工ログの detail.eventType の値は、キー「Event Type」で Key-Value ペアとして additional.fields に追加されます。
detail.eventVersion metadata.product_version 未加工ログの detail.eventVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.managementEvent additional.fields 未加工ログの detail.managementEvent の値は文字列に変換され、キー「detail managementEvent」を持つ additional.fields に Key-Value ペアとして追加されます。
detail.messageType target.resource.attribute.labels 未加工ログの detail.messageType の値は、キー「Message Type」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.newEvaluationResult.complianceType security_result.summary 未加工ログの detail.newEvaluationResult.complianceType の値は、security_result.summary フィールドにマッピングされます。
detail.newEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.newEvaluationResult.configRuleInvokedTime の値は、キー「newEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「newEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「newEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「newEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.newEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.newEvaluationResult.resultRecordedTime の値は、キー「newEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.configRuleInvokedTime additional.fields 未加工ログの detail.oldEvaluationResult.configRuleInvokedTime の値は、キー「oldEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「oldEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「oldEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「oldEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。
detail.oldEvaluationResult.resultRecordedTime additional.fields 未加工ログの detail.oldEvaluationResult.resultRecordedTime の値は、キー「oldEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。
detail.readOnly additional.fields 未加工ログの detail.readOnly の値は文字列に変換され、キー「detail readOnly」で Key-Value ペアとして additional.fields に追加されます。
detail.recipientAccountId target.resource.attribute.labels 未加工ログの detail.recipientAccountId の値は、キー「Recipient Account Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.recordVersion metadata.product_version 未加工ログの detail.recordVersion の値は、metadata.product_version フィールドにマッピングされます。
detail.requestID target.resource.attribute.labels 未加工ログの detail.requestID の値は、キー「Detail Request ID」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.resourceType target.resource.resource_subtype 未加工ログの detail.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
detail.s3Bucket about.resource.name 未加工ログの detail.s3Bucket の値は、about.resource.name フィールドにマッピングされます。
detail.s3ObjectKey target.resource.attribute.labels 未加工ログの detail.s3ObjectKey の値は、キー「s3ObjectKey」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
detail.userAgent network.http.user_agent 未加工ログの detail.userAgent の値は、network.http.user_agent フィールドにマッピングされます。
detail.userIdentity.accessKeyId target.user.userid 未加工ログの detail.userIdentity.accessKeyId の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.accountId metadata.product_deployment_id 未加工ログの detail.userIdentity.accountId の値は、metadata.product_deployment_id フィールドにマッピングされます。
detail.userIdentity.arn target.user.userid 未加工ログの detail.userIdentity.arn の値は、target.user.userid フィールドにマッピングされます。
detail.userIdentity.principalId principal.user.product_object_id 未加工ログの detail.userIdentity.principalId の値は、principal.user.product_object_id フィールドにマッピングされます。
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels 未加工ログの detail.userIdentity.sessionContext.attributes.mfaAuthenticated の値は、キー「mfaAuthenticated」で Key-Value ペアとして principal.user.attribute.labels に追加されます。
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name 未加工ログの detail.userIdentity.sessionContext.sessionIssuer.userName の値は、target.user.user_display_name フィールドにマッピングされます。
detail.userIdentity.type principal.resource.type 未加工ログの detail.userIdentity.type の値は、principal.resource.type フィールドにマッピングされます。
detail-type metadata.product_event_type 未加工ログの detail-type の値は、metadata.product_event_type フィールドにマッピングされます。
device principal.asset.product_object_id 未加工ログの device の値は、principal.asset.product_object_id フィールドにマッピングされます。
digestPublicKeyFingerprint target.file.sha1 未加工ログの digestPublicKeyFingerprint の値は、target.file.sha1 フィールドにマッピングされます。
digestS3Bucket principal.resource.name 未加工ログの digestS3Bucket の値は、principal.resource.name フィールドにマッピングされます。
digestS3Object principal.asset.asset_id 未加工ログの digestS3Object の値に「S3 Object: 」が追加され、principal.asset.asset_id フィールドにマッピングされます。
digestSignatureAlgorithm network.tls.cipher 未加工ログの digestSignatureAlgorithm の値は、network.tls.cipher フィールドにマッピングされます。
digestStartTime metadata.event_timestamp 未加工ログの digestStartTime の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
dimensions.VolumeId additional.fields 未加工ログの dimensions.VolumeId の値は、キー「VolumeId」で Key-Value ペアとして additional.fields に追加されます。
duration additional.fields 未加工ログの duration の値は、キー「duration」で Key-Value ペアとして additional.fields に追加されます。
errorCode security_result.rule_name 未加工ログの errorCode の値は、security_result.rule_name フィールドにマッピングされます。
errorMessage security_result.summary 未加工ログの errorMessage の値は、security_result.summary フィールドにマッピングされます。
executionId principal.process.pid 未加工ログの executionId の値は、principal.process.pid フィールドにマッピングされます。
host principal.hostnameprincipal.ip 未加工ログの host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
http_verb network.http.method 未加工ログの http_verb の値は大文字に変換され、network.http.method フィールドにマッピングされます。
kubernetes.container_hash additional.fields 未加工ログの kubernetes.container_hash の値は、キー「container_hash」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_image additional.fields 未加工ログの kubernetes.container_image の値は、キー「container_image」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.container_name additional.fields 未加工ログの kubernetes.container_name の値は、キー「container_name」で Key-Value ペアとして additional.fields に追加されます。
kubernetes.docker_id principal.asset_id 未加工ログの kubernetes.docker_id の値に「id:」が追加され、principal.asset_id フィールドにマッピングされます。
kubernetes.host principal.hostnameprincipal.ip 未加工ログの kubernetes.host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。
kubernetes.namespace principal.namespace 未加工ログの kubernetes.namespace の値は、principal.namespace フィールドにマッピングされます。
kubernetes.namespace_name principal.namespace 未加工ログの kubernetes.namespace_name の値は、principal.namespace フィールドにマッピングされます。
kubernetes.pod_id principal.asset.asset_id 未加工ログの kubernetes.pod_id の値に「pod_id:」が追加され、principal.asset.asset_id フィールドにマッピングされます。
kubernetes.pod_name additional.fields 未加工ログの kubernetes.pod_name の値は、キー「pod name」で Key-Value ペアとして additional.fields に追加されます。
lambdaArn principal.hostname 未加工ログの lambdaArn の値は、principal.hostname フィールドにマッピングされます。
level security_result.severity 未加工ログの level の値によって、security_result.severity の値が決まります。level が「Info」の場合、値は「INFORMATIONAL」になります。level が「Error」の場合、値は「ERROR」になります。level が「Warning」の場合、値は「MEDIUM」です。
log metadata.description descr が空の場合、未加工ログの log の値は metadata.description フィールドにマッピングされます。
logFiles about 未加工ログの logFiles 配列の要素ごとに、file.full_paths3Objectasset.hostnames3Bucketfile.sha256hashValue に設定された about オブジェクトが作成されます。
log_processed.cause security_result.summary 未加工ログの log_processed.cause の値は、security_result.summary フィールドにマッピングされます。
log_processed.ids intermediary.hostname 未加工ログの log_processed.ids 配列の各要素に対して、hostname が要素の値に設定された intermediary オブジェクトが作成されます。
log_processed.level security_result.severity 未加工ログの log_processed.level の値は、security_result.severity フィールドにマッピングされます。
log_processed.msg metadata.description 未加工ログの log_processed.msg の値は、metadata.description フィールドにマッピングされます。
log_processed.ts metadata.event_timestamp 未加工ログの log_processed.ts の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
log_type metadata.log_type 未加工ログの log_type の値は、metadata.log_type フィールドにマッピングされます。これは、コンテキストのために追加されたカスタム フィールドです。
logevent.message security_result.description 未加工ログの logevent.message の値は、security_result.description フィールドにマッピングされます。また、grok を使用して解析し、追加のフィールドを抽出します。
logGroup security_result.about.resource.name 未加工ログの logGroup の値は、security_result.about.resource.name フィールドにマッピングされます。
logStream security_result.about.resource.attribute.labels 未加工ログの logStream の値は、キー「logStream」で Key-Value ペアとして security_result.about.resource.attribute.labels に追加されます。
memory_used additional.fields 未加工ログの memory_used の値は、キー「memory_used」で Key-Value ペアとして additional.fields に追加されます。
metric_name additional.fields 未加工ログの metric_name の値は、キー「metric_name」で Key-Value ペアとして additional.fields に追加されます。
metric_stream_name additional.fields 未加工ログの metric_stream_name の値は、キー「metric_stream_name」で Key-Value ペアとして additional.fields に追加されます。
namespace principal.namespace 未加工ログの namespace の値は、principal.namespace フィールドにマッピングされます。
owner principal.user.userid 未加工ログの owner の値は、principal.user.userid フィールドにマッピングされます。
parameters additional.fields 未加工ログの parameters の値は、キー「Parameters」で Key-Value ペアとして additional.fields に追加されます。
Path principal.process.file.full_path 未加工ログの Path の値は、principal.process.file.full_path フィールドにマッピングされます。
pid principal.process.pid 未加工ログの pid の値は、principal.process.pid フィールドにマッピングされます。
PolicyName security_result.rule_name 未加工ログの PolicyName の値は、security_result.rule_name フィールドにマッピングされます。
prin_host principal.hostname 未加工ログの prin_host の値は、principal.hostname フィールドにマッピングされます。
principal_hostname principal.hostname 未加工ログの principal_hostname の値は、principal.hostname フィールドにマッピングされます。
process principal.application 未加工ログの process の値は、principal.application フィールドにマッピングされます。
rawData additional.fields 未加工ログの rawData の値は、キー「Raw Data」で Key-Value ペアとして additional.fields に追加されます。
Recommendation security_result.detection_fields 未加工ログの Recommendation の値は、キー「Recommendation」で Key-Value ペアとして security_result.detection_fields に追加されます。
referral_url network.http.referral_url 未加工ログの referral_url の値は、network.http.referral_url フィールドにマッピングされます。
region principal.location.name 未加工ログの region の値は、principal.location.name フィールドにマッピングされます。
resp_code network.http.response_code 未加工ログの resp_code の値は整数に変換され、network.http.response_code フィールドにマッピングされます。
resource_url network.http.referral_url 未加工ログの resource_url の値は、network.http.referral_url フィールドにマッピングされます。
ResourceType target.resource.resource_subtype 未加工ログの ResourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。
response_body additional.fields 未加工ログの response_body の値は、キー「Response body」で Key-Value ペアとして additional.fields に追加されます。
Role target.resource.product_object_id 未加工ログの Role の値は、target.resource.product_object_id フィールドにマッピングされます。
s3_bucket_path target.file.full_path 未加工ログの s3_bucket_path の値は、target.file.full_path フィールドにマッピングされます。
sec_result.category security_result.category sec_result.category の値は、パーサーのロジックから導出されます。descr に「authentication is required」が含まれている場合、値は「AUTH_VIOLATION」です。
sec_result.description security_result.description sec_result.description の値は、パーサーのロジックから導出されます。存在する場合は cloudwatchLog の値に設定されます。
sec_result.severity security_result.severity sec_result.severity の値は、パーサーのロジックから導出されます。これは severity または level の値に基づいて設定されます。
sec_result.summary security_result.summary sec_result.summary の値は、パーサーのロジックから導出されます。存在する場合は、log_processed.cause または errorMessage の値に設定されます。
security_result security_result security_result オブジェクトは、さまざまなフィールドとパーサー ロジックから構築されます。
serverId additional.fields 未加工ログの serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
severity security_result.severity 未加工ログの severity の値は大文字に変換されて正規化され、security_result.severity フィールドにマッピングされます。
Source principal.hostname 未加工ログの Source の値は、principal.hostname フィールドにマッピングされます。
source principal.hostname 未加工ログの source の値は、principal.hostname フィールドにマッピングされます。
SourceIP principal.ip 未加工ログの SourceIP の値は、principal.ip フィールドにマッピングされます。
src_port principal.port src_port が「80」の場合、整数に変換されて principal.port フィールドにマッピングされ、network.application_protocol が「HTTP」に設定されます。
stream additional.fields 未加工ログの stream の値は、キー「stream」で Key-Value ペアとして additional.fields に追加されます。
subscriptionFilters security_result.about.resource.attribute.labels 未加工ログの subscriptionFilters 配列の各要素について、キーが「subscriptionFilter」で値が配列の値の Key-Value ペアが security_result.about.resource.attribute.labels に追加されます。
support_contact target.resource.attribute.labels 未加工ログの support_contact の値は、キー「サポート連絡先」で Key-Value ペアとして target.resource.attribute.labels に追加されます。
t_ip target.ip 未加工ログの t_ip の値からハイフンが削除され、IP アドレスとして解析されます。成功した場合は、target.ip フィールドにマッピングされます。
time metadata.event_timestamp 未加工ログの time の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
timestamp metadata.event_timestamp 未加工ログの timestamp の値は、さまざまな形式を使用してタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
tls network.tls.version 未加工ログの tls の値は、network.tls.version フィールドにマッピングされます。
transferDetails.serverId additional.fields 未加工ログの transferDetails.serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。
transferDetails.sessionId network.session_id 未加工ログの transferDetails.sessionId の値は、network.session_id フィールドにマッピングされます。
transferDetails.username principal.user.user_display_name 未加工ログの transferDetails.username の値は、principal.user.user_display_name フィールドにマッピングされます。
ts metadata.event_timestamp 未加工ログの ts の値は、タイムゾーン(使用可能な場合)と組み合わされてタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。
type metadata.product_event_type 未加工ログの type の値は、metadata.product_event_type フィールドにマッピングされます。
unit additional.fields 未加工ログの unit の値は、キー「unit」で Key-Value ペアとして additional.fields に追加されます。
url target.url 未加工ログの url の値は、target.url フィールドにマッピングされます。
url_back_to_product metadata.url_back_to_product 未加工ログの url_back_to_product の値は、metadata.url_back_to_product フィールドにマッピングされます。
User principal.user.userid 未加工ログの User の値は、principal.user.userid フィールドにマッピングされます。
user target.user.useridmetadata.event_typeextensions.auth.mechanism user が存在する場合、metadata.event_type は「USER_LOGIN」に設定され、extensions.auth.mechanism は「NETWORK」に設定され、user の値は target.user.userid にマッピングされます。
value.count additional.fields 未加工ログの value.count の値は文字列に変換され、キー「count」で Key-Value ペアとして additional.fields に追加されます。
value.max additional.fields 未加工ログの value.max の値は文字列に変換され、キー「max」で Key-Value ペアとして additional.fields に追加されます。
value.min additional.fields 未加工ログの value.min の値は文字列に変換され、キー「min」で Key-Value ペアとして additional.fields に追加されます。
value.sum additional.fields 未加工ログの value.sum の値は文字列に変換され、キー「sum」を持つ additional.fields に Key-Value ペアとして追加されます。
workflowId additional.fields 未加工ログの workflowId の値は、キー「workflowId」で Key-Value ペアとして additional.fields に追加されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。