AWS CloudWatch ログを収集する
このドキュメントでは、Amazon S3 を使用して AWS CloudWatch ログを Google Security Operations に取り込む方法について説明します。
AWS CloudWatch は、AWS リソースとアプリケーションからログ、指標、イベントの形式で運用データを収集するモニタリングとオブザーバビリティのサービスです。この統合では、Amazon Data Firehose を使用して CloudWatch ログデータを S3 バケットにストリーミングし、Google SecOps は Amazon S3 V2 フィードを使用して取り込みます。
始める前に
- Google SecOps インスタンス
- AWS Management Console への特権アクセス。次の管理権限が必要です。
- Amazon CloudWatch Logs(ロググループ、サブスクリプション フィルタ)
- Amazon Data Firehose(配信ストリーム)
- Amazon S3(バケット)
- AWS IAM(ロール、ポリシー、ユーザー)
AWS S3 バケットを構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- バケットの名前とリージョンを保存して、後で参照できるようにします(例:
cwlogs-to-secops)。
Amazon Data Firehose の IAM ロールを構成する
Amazon Data Firehose では、S3 バケットにログを書き込むために IAM ロールが必要です。
IAM ポリシーを作成する
- AWS コンソールで、[IAM] > [ポリシー] > [ポリシーを作成] に移動します。
- [JSON] タブを選択します。
次のポリシーを貼り付けます(
cwlogs-to-secopsは実際のバケット名に置き換えます)。{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Delivery", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::cwlogs-to-secops", "arn:aws:s3:::cwlogs-to-secops/*" ] }, { "Sid": "CloudWatchLogging", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/cwlogs-to-secops:log-stream:*" } ] }[次へ] をクリックします。
[Policy name] フィールドに「
FirehoseS3DeliveryPolicy」と入力します。[ポリシーを作成] をクリックします。
IAM ロールを作成する
- [IAM]> [ロール]> [ロールを作成] に移動します。
- [カスタム信頼ポリシー] を選択します。
次の信頼ポリシーを貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }[次へ] をクリックします。
FirehoseS3DeliveryPolicy を検索して選択します。
[次へ] をクリックします。
[ロール名] フィールドに「
FirehoseToS3Role」と入力します。[ロールを作成] をクリックします。
Amazon Data Firehose ストリームを作成する
- https://console.aws.amazon.com/kinesis で Kinesis コンソールを開きます。
- ナビゲーション パネルで [Amazon Data Firehose] を選択します。
- [Firehose ストリームを作成] をクリックします。
- [移行元と移行先を選択] で、次の構成を指定します。
- ソース: [Direct PUT] を選択します。
- 宛先: [Amazon S3] を選択します。
- [Firehose ストリーム名] フィールドに「
cwlogs-to-secops」と入力します。 [レコードを変換] の [Amazon CloudWatch Logs からソースレコードを解凍する] セクションで、次の操作を行います。
- [解凍をオンにする] を選択します。
- [メッセージ抽出を有効にする] は選択しないでください。
[宛先の設定] で、次の操作を行います。
- S3 バケット: S3 バケット
cwlogs-to-secopsを選択します。 - S3 バケットの接頭辞(省略可):
cloudwatch-logs/と入力します。 - S3 バケットのエラー出力プレフィックス(省略可):
firehose-errors/と入力します。
- S3 バケット: S3 バケット
[バッファのヒント] で、次の操作を行います。
- バッファサイズ:
5MiB(デフォルト)。 - バッファ間隔:
300秒(デフォルト)。
- バッファサイズ:
[詳細設定] で、以下の操作を行います。
- サーバーサイド暗号化: 省略可。暗号化が必要な場合は有効にします。
- エラー ロギング: [有効] を選択します(推奨)。
- 権限: [既存の IAM ロールを選択] を選択し、
FirehoseToS3Roleを選択します。
[Firehose ストリームを作成] をクリックします。
ストリームの [ステータス] が [アクティブ] になるまで待ちます。
CloudWatch Logs の IAM ロールを構成する
CloudWatch Logs では、ログデータを Firehose ストリームに送信するために IAM ロールが必要です。
IAM ポリシーを作成する
- [IAM] > [ポリシー] > [ポリシーを作成] に移動します。
- [JSON] タブを選択します。
次のポリシーを貼り付けます(
<region>と<account-id>は、AWS リージョンとアカウント ID に置き換えます)。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops" } ] }[次へ] をクリックします。
[Policy name] フィールドに「
CWLtoFirehoseWritePolicy」と入力します。[ポリシーを作成] をクリックします。
IAM ロールを作成する
- [IAM]> [ロール]> [ロールを作成] に移動します。
- [カスタム信頼ポリシー] を選択します。
次の信頼ポリシーを貼り付けます(
<region>は AWS リージョンに置き換えます)。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logs.<region>.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }[次へ] をクリックします。
CWLtoFirehoseWritePolicy を検索して選択します。
[次へ] をクリックします。
[ロール名] フィールドに「
CWLtoFirehoseRole」と入力します。[ロールを作成] をクリックします。
CloudWatch Logs サブスクリプション フィルタを作成する
- AWS コンソールで、[CloudWatch] > [ログ] > [ロググループ] に移動します。
- Google SecOps にストリーミングするターゲット ロググループを選択します。
- [サブスクリプション フィルタ] タブを選択します。
- [作成> Amazon Data Firehose サブスクリプション フィルタを作成] をクリックします。
- 次の構成の詳細を指定します。
- 宛先: Firehose ストリーム
cwlogs-to-secopsを選択します。 - 権限を付与: ロール
CWLtoFirehoseRoleを選択します。 - サブスクリプション フィルタ名: わかりやすい名前を入力します(例:
secops-all-events)。 - ログ形式: [その他] を選択します。
- サブスクリプション フィルタ パターン: すべてのイベントを送信する場合は空白のままにします。特定のイベントのみを送信する場合は、フィルタ パターンを入力します。
- 宛先: Firehose ストリーム
[ストリーミングを開始] をクリックします。
Google SecOps 用に IAM ユーザーを構成する
Google SecOps は、配信されたログを取り込むために、S3 バケットにアクセスできる IAM ユーザーを必要とします。
- IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成した [User] を選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] で [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [.csv ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、今後の参照に備えます。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで [権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索します。
- ポリシーを選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
AWS CloudWatch のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [Feed name] に一意の名前を入力します。
- [ソースタイプ] として [Amazon S3 V2] を選択します。
- [Log type] として [AWS CloudWatch] を選択します。
- [次へ] をクリックしてから、[送信] をクリックします。
- 次のフィールドに値を指定します。
- S3 URI:
s3://cwlogs-to-secops/cloudwatch-logs/ - Source deletion option: 必要に応じて削除オプションを選択します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます(デフォルトは 180 日)。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックしてから、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
account |
principal.user.userid |
未加工ログの account の値は、principal.user.userid フィールドにマッピングされます。 |
account_id |
principal.user.userid |
未加工ログの account_id の値は、principal.user.userid フィールドにマッピングされます。 |
AlertId |
metadata.product_log_id |
未加工ログの AlertId の値は、metadata.product_log_id フィールドにマッピングされます。 |
arrivalTimestamp |
metadata.event_timestamp |
未加工ログの arrivalTimestamp の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
attemptsMade |
additional.fields |
未加工ログの attemptsMade の値は文字列に変換され、キー「Attempts Made」で Key-Value ペアとして additional.fields に追加されます。 |
awsAccountId |
principal.asset_id |
未加工ログの awsAccountId の値に「AWS Account id:」が追加され、principal.asset_id フィールドにマッピングされます。 |
billed_duration |
additional.fields |
未加工ログの billed_duration の値は、キー「billed_duration」で Key-Value ペアとして additional.fields に追加されます。 |
BytesIn |
network.received_bytes |
未加工ログの BytesIn の値は符号なし整数に変換され、network.received_bytes フィールドにマッピングされます。 |
cipher |
network.tls.cipher |
未加工ログの cipher の値は、network.tls.cipher フィールドにマッピングされます。 |
Ciphers |
network.tls.client.supported_ciphers |
未加工ログの Ciphers の値がカンマで分割され、各値が network.tls.client.supported_ciphers 配列に追加されます。 |
cloudwatchLog |
security_result.description |
未加工ログの cloudwatchLog の値は、security_result.description フィールドにマッピングされます。 |
CloudAccountId |
metadata.product_deployment_id |
未加工ログの CloudAccountId の値は、metadata.product_deployment_id フィールドにマッピングされます。 |
CloudType |
target.resource.attribute.cloud.environment |
未加工ログの CloudType の値によって、target.resource.attribute.cloud.environment の値が決まります。CloudType が「gcp」の場合、値は「GOOGLE_CLOUD_PLATFORM」です。CloudType が「aws」の場合、値は「AMAZON_WEB_SERVICES」です。CloudType が「azure」の場合、値は「MICROSOFT_AZURE」です。 |
Context.Execution.Id |
target.resource.attribute.labels |
未加工ログの Context.Execution.Id の値は、キー「Context Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
Context.Execution.Name |
target.resource.attribute.labels |
未加工ログの Context.Execution.Name の値は、キー「Context Name」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
Context.Execution.RoleArn |
target.resource.product_object_id |
未加工ログの Context.Execution.RoleArn の値は、target.resource.product_object_id フィールドにマッピングされます。 |
descr |
metadata.description |
未加工ログの descr の値は、余分な空白を削除した後、「-」でない限り metadata.description フィールドにマッピングされます。descr が空の場合、代わりに log の値が使用されます。 |
destination.name |
target.location.country_or_region |
未加工ログの destination.name の値は、target.location.country_or_region フィールドにマッピングされます。 |
destination.properties.prefix |
target.resource.attribute.labels |
未加工ログの destination.properties.prefix の値は、キー「宛先プロパティの接頭辞」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.additionalEventData.configRuleArn |
security_result.rule_id |
未加工ログの detail.additionalEventData.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.additionalEventData.configRuleName |
security_result.rule_name |
未加工ログの detail.additionalEventData.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。 |
detail.additionalEventData.managedRuleIdentifier |
additional.fields |
未加工ログの detail.additionalEventData.managedRuleIdentifier の値は、キー「managedRuleIdentifier」で Key-Value ペアとして additional.fields に追加されます。 |
detail.additionalEventData.notificationJobType |
additional.fields |
未加工ログの detail.additionalEventData.notificationJobType の値は、キー「notificationJobType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.awsAccountId |
principal.asset_id |
未加工ログの detail.awsAccountId の値に「AWS Account id:」が追加され、principal.asset_id フィールドにマッピングされます。 |
detail.awsRegion |
principal.location.name |
未加工ログの detail.awsRegion の値は、principal.location.name フィールドにマッピングされます。 |
detail.configRuleArn |
security_result.rule_id |
未加工ログの detail.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.configRuleName |
security_result.rule_name |
未加工ログの detail.configRuleName の値は、security_result.rule_name フィールドにマッピングされます。 |
detail.configurationItem.awsAccountId |
principal.user.userid |
未加工ログの detail.configurationItem.awsAccountId の値は、principal.user.userid フィールドにマッピングされます。 |
detail.configurationItem.awsRegion |
target.location.country_or_region |
未加工ログの detail.configurationItem.awsRegion の値は、target.location.country_or_region フィールドにマッピングされます。 |
detail.configurationItem.configuration.complianceType |
security_result.summary |
未加工ログの detail.configurationItem.configuration.complianceType の値は、security_result.summary フィールドにマッピングされます。 |
detail.configurationItem.configuration.targetResourceId |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configuration.targetResourceId の値は、キー「configurationItem configuration targetResourceId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configuration.targetResourceType |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configuration.targetResourceType の値は、キー「configurationItem configuration targetResourceType」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configurationItemCaptureTime |
_target.asset.attribute.creation_time |
未加工ログの detail.configurationItem.configurationItemCaptureTime の値はタイムスタンプに変換され、_target.asset.attribute.creation_time フィールドにマッピングされます。 |
detail.configurationItem.configurationItemStatus |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configurationItemStatus の値は、キー「configurationItem configurationItemStatus」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.configurationStateId |
target.resource.attribute.labels |
未加工ログの detail.configurationItem.configurationStateId の値は文字列に変換され、キー「configurationItem configurationStateId」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.configurationItem.resourceId |
target.resource.id |
未加工ログの detail.configurationItem.resourceId の値は、target.resource.id フィールドにマッピングされます。 |
detail.configurationItem.resourceType |
target.resource.resource_subtype |
未加工ログの detail.configurationItem.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn |
security_result.rule_id |
未加工ログの detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn の値は、security_result.rule_id フィールドにマッピングされます。 |
detail.eventCategory |
security_result.category_details |
未加工ログの detail.eventCategory の値は、security_result.category_details フィールドにマッピングされます。 |
detail.eventID |
metadata.product_log_id |
未加工ログの detail.eventID の値は、metadata.product_log_id フィールドにマッピングされます。 |
detail.eventName |
additional.fields |
未加工ログの detail.eventName の値は、キー「Event Name」で Key-Value ペアとして additional.fields に追加されます。 |
detail.eventSource |
target.application |
未加工ログの detail.eventSource の値は、target.application フィールドにマッピングされます。 |
detail.eventType |
additional.fields |
未加工ログの detail.eventType の値は、キー「Event Type」で Key-Value ペアとして additional.fields に追加されます。 |
detail.eventVersion |
metadata.product_version |
未加工ログの detail.eventVersion の値は、metadata.product_version フィールドにマッピングされます。 |
detail.managementEvent |
additional.fields |
未加工ログの detail.managementEvent の値は文字列に変換され、キー「detail managementEvent」を持つ additional.fields に Key-Value ペアとして追加されます。 |
detail.messageType |
target.resource.attribute.labels |
未加工ログの detail.messageType の値は、キー「Message Type」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.newEvaluationResult.complianceType |
security_result.summary |
未加工ログの detail.newEvaluationResult.complianceType の値は、security_result.summary フィールドにマッピングされます。 |
detail.newEvaluationResult.configRuleInvokedTime |
additional.fields |
未加工ログの detail.newEvaluationResult.configRuleInvokedTime の値は、キー「newEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「newEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「newEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
未加工ログの detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「newEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.newEvaluationResult.resultRecordedTime |
additional.fields |
未加工ログの detail.newEvaluationResult.resultRecordedTime の値は、キー「newEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.configRuleInvokedTime |
additional.fields |
未加工ログの detail.oldEvaluationResult.configRuleInvokedTime の値は、キー「oldEvaluationResult_configRuleInvokedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName の値は、キー「oldEvaluationResult_configRuleName」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId の値は、キー「oldEvaluationResult_resourceId」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
未加工ログの detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType の値は、キー「oldEvaluationResult_resourceType」で Key-Value ペアとして additional.fields に追加されます。 |
detail.oldEvaluationResult.resultRecordedTime |
additional.fields |
未加工ログの detail.oldEvaluationResult.resultRecordedTime の値は、キー「oldEvaluationResult_resultRecordedTime」で Key-Value ペアとして additional.fields に追加されます。 |
detail.readOnly |
additional.fields |
未加工ログの detail.readOnly の値は文字列に変換され、キー「detail readOnly」で Key-Value ペアとして additional.fields に追加されます。 |
detail.recipientAccountId |
target.resource.attribute.labels |
未加工ログの detail.recipientAccountId の値は、キー「Recipient Account Id」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.recordVersion |
metadata.product_version |
未加工ログの detail.recordVersion の値は、metadata.product_version フィールドにマッピングされます。 |
detail.requestID |
target.resource.attribute.labels |
未加工ログの detail.requestID の値は、キー「Detail Request ID」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.resourceType |
target.resource.resource_subtype |
未加工ログの detail.resourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
detail.s3Bucket |
about.resource.name |
未加工ログの detail.s3Bucket の値は、about.resource.name フィールドにマッピングされます。 |
detail.s3ObjectKey |
target.resource.attribute.labels |
未加工ログの detail.s3ObjectKey の値は、キー「s3ObjectKey」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
detail.userAgent |
network.http.user_agent |
未加工ログの detail.userAgent の値は、network.http.user_agent フィールドにマッピングされます。 |
detail.userIdentity.accessKeyId |
target.user.userid |
未加工ログの detail.userIdentity.accessKeyId の値は、target.user.userid フィールドにマッピングされます。 |
detail.userIdentity.accountId |
metadata.product_deployment_id |
未加工ログの detail.userIdentity.accountId の値は、metadata.product_deployment_id フィールドにマッピングされます。 |
detail.userIdentity.arn |
target.user.userid |
未加工ログの detail.userIdentity.arn の値は、target.user.userid フィールドにマッピングされます。 |
detail.userIdentity.principalId |
principal.user.product_object_id |
未加工ログの detail.userIdentity.principalId の値は、principal.user.product_object_id フィールドにマッピングされます。 |
detail.userIdentity.sessionContext.attributes.mfaAuthenticated |
principal.user.attribute.labels |
未加工ログの detail.userIdentity.sessionContext.attributes.mfaAuthenticated の値は、キー「mfaAuthenticated」で Key-Value ペアとして principal.user.attribute.labels に追加されます。 |
detail.userIdentity.sessionContext.sessionIssuer.userName |
target.user.user_display_name |
未加工ログの detail.userIdentity.sessionContext.sessionIssuer.userName の値は、target.user.user_display_name フィールドにマッピングされます。 |
detail.userIdentity.type |
principal.resource.type |
未加工ログの detail.userIdentity.type の値は、principal.resource.type フィールドにマッピングされます。 |
detail-type |
metadata.product_event_type |
未加工ログの detail-type の値は、metadata.product_event_type フィールドにマッピングされます。 |
device |
principal.asset.product_object_id |
未加工ログの device の値は、principal.asset.product_object_id フィールドにマッピングされます。 |
digestPublicKeyFingerprint |
target.file.sha1 |
未加工ログの digestPublicKeyFingerprint の値は、target.file.sha1 フィールドにマッピングされます。 |
digestS3Bucket |
principal.resource.name |
未加工ログの digestS3Bucket の値は、principal.resource.name フィールドにマッピングされます。 |
digestS3Object |
principal.asset.asset_id |
未加工ログの digestS3Object の値に「S3 Object: 」が追加され、principal.asset.asset_id フィールドにマッピングされます。 |
digestSignatureAlgorithm |
network.tls.cipher |
未加工ログの digestSignatureAlgorithm の値は、network.tls.cipher フィールドにマッピングされます。 |
digestStartTime |
metadata.event_timestamp |
未加工ログの digestStartTime の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
dimensions.VolumeId |
additional.fields |
未加工ログの dimensions.VolumeId の値は、キー「VolumeId」で Key-Value ペアとして additional.fields に追加されます。 |
duration |
additional.fields |
未加工ログの duration の値は、キー「duration」で Key-Value ペアとして additional.fields に追加されます。 |
errorCode |
security_result.rule_name |
未加工ログの errorCode の値は、security_result.rule_name フィールドにマッピングされます。 |
errorMessage |
security_result.summary |
未加工ログの errorMessage の値は、security_result.summary フィールドにマッピングされます。 |
executionId |
principal.process.pid |
未加工ログの executionId の値は、principal.process.pid フィールドにマッピングされます。 |
host |
principal.hostname、principal.ip |
未加工ログの host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。 |
http_verb |
network.http.method |
未加工ログの http_verb の値は大文字に変換され、network.http.method フィールドにマッピングされます。 |
kubernetes.container_hash |
additional.fields |
未加工ログの kubernetes.container_hash の値は、キー「container_hash」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.container_image |
additional.fields |
未加工ログの kubernetes.container_image の値は、キー「container_image」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.container_name |
additional.fields |
未加工ログの kubernetes.container_name の値は、キー「container_name」で Key-Value ペアとして additional.fields に追加されます。 |
kubernetes.docker_id |
principal.asset_id |
未加工ログの kubernetes.docker_id の値に「id:」が追加され、principal.asset_id フィールドにマッピングされます。 |
kubernetes.host |
principal.hostname、principal.ip |
未加工ログの kubernetes.host の値(ハイフンがドットに置き換えられたもの)は IP アドレスとして解析され、成功した場合は principal.ip フィールドにマッピングされます。それ以外の場合は、principal.hostname フィールドにマッピングされます。 |
kubernetes.namespace |
principal.namespace |
未加工ログの kubernetes.namespace の値は、principal.namespace フィールドにマッピングされます。 |
kubernetes.namespace_name |
principal.namespace |
未加工ログの kubernetes.namespace_name の値は、principal.namespace フィールドにマッピングされます。 |
kubernetes.pod_id |
principal.asset.asset_id |
未加工ログの kubernetes.pod_id の値に「pod_id:」が追加され、principal.asset.asset_id フィールドにマッピングされます。 |
kubernetes.pod_name |
additional.fields |
未加工ログの kubernetes.pod_name の値は、キー「pod name」で Key-Value ペアとして additional.fields に追加されます。 |
lambdaArn |
principal.hostname |
未加工ログの lambdaArn の値は、principal.hostname フィールドにマッピングされます。 |
level |
security_result.severity |
未加工ログの level の値によって、security_result.severity の値が決まります。level が「Info」の場合、値は「INFORMATIONAL」になります。level が「Error」の場合、値は「ERROR」になります。level が「Warning」の場合、値は「MEDIUM」です。 |
log |
metadata.description |
descr が空の場合、未加工ログの log の値は metadata.description フィールドにマッピングされます。 |
logFiles |
about |
未加工ログの logFiles 配列の要素ごとに、file.full_path が s3Object、asset.hostname が s3Bucket、file.sha256 が hashValue に設定された about オブジェクトが作成されます。 |
log_processed.cause |
security_result.summary |
未加工ログの log_processed.cause の値は、security_result.summary フィールドにマッピングされます。 |
log_processed.ids |
intermediary.hostname |
未加工ログの log_processed.ids 配列の各要素に対して、hostname が要素の値に設定された intermediary オブジェクトが作成されます。 |
log_processed.level |
security_result.severity |
未加工ログの log_processed.level の値は、security_result.severity フィールドにマッピングされます。 |
log_processed.msg |
metadata.description |
未加工ログの log_processed.msg の値は、metadata.description フィールドにマッピングされます。 |
log_processed.ts |
metadata.event_timestamp |
未加工ログの log_processed.ts の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
log_type |
metadata.log_type |
未加工ログの log_type の値は、metadata.log_type フィールドにマッピングされます。これは、コンテキストのために追加されたカスタム フィールドです。 |
logevent.message |
security_result.description |
未加工ログの logevent.message の値は、security_result.description フィールドにマッピングされます。また、grok を使用して解析し、追加のフィールドを抽出します。 |
logGroup |
security_result.about.resource.name |
未加工ログの logGroup の値は、security_result.about.resource.name フィールドにマッピングされます。 |
logStream |
security_result.about.resource.attribute.labels |
未加工ログの logStream の値は、キー「logStream」で Key-Value ペアとして security_result.about.resource.attribute.labels に追加されます。 |
memory_used |
additional.fields |
未加工ログの memory_used の値は、キー「memory_used」で Key-Value ペアとして additional.fields に追加されます。 |
metric_name |
additional.fields |
未加工ログの metric_name の値は、キー「metric_name」で Key-Value ペアとして additional.fields に追加されます。 |
metric_stream_name |
additional.fields |
未加工ログの metric_stream_name の値は、キー「metric_stream_name」で Key-Value ペアとして additional.fields に追加されます。 |
namespace |
principal.namespace |
未加工ログの namespace の値は、principal.namespace フィールドにマッピングされます。 |
owner |
principal.user.userid |
未加工ログの owner の値は、principal.user.userid フィールドにマッピングされます。 |
parameters |
additional.fields |
未加工ログの parameters の値は、キー「Parameters」で Key-Value ペアとして additional.fields に追加されます。 |
Path |
principal.process.file.full_path |
未加工ログの Path の値は、principal.process.file.full_path フィールドにマッピングされます。 |
pid |
principal.process.pid |
未加工ログの pid の値は、principal.process.pid フィールドにマッピングされます。 |
PolicyName |
security_result.rule_name |
未加工ログの PolicyName の値は、security_result.rule_name フィールドにマッピングされます。 |
prin_host |
principal.hostname |
未加工ログの prin_host の値は、principal.hostname フィールドにマッピングされます。 |
principal_hostname |
principal.hostname |
未加工ログの principal_hostname の値は、principal.hostname フィールドにマッピングされます。 |
process |
principal.application |
未加工ログの process の値は、principal.application フィールドにマッピングされます。 |
rawData |
additional.fields |
未加工ログの rawData の値は、キー「Raw Data」で Key-Value ペアとして additional.fields に追加されます。 |
Recommendation |
security_result.detection_fields |
未加工ログの Recommendation の値は、キー「Recommendation」で Key-Value ペアとして security_result.detection_fields に追加されます。 |
referral_url |
network.http.referral_url |
未加工ログの referral_url の値は、network.http.referral_url フィールドにマッピングされます。 |
region |
principal.location.name |
未加工ログの region の値は、principal.location.name フィールドにマッピングされます。 |
resp_code |
network.http.response_code |
未加工ログの resp_code の値は整数に変換され、network.http.response_code フィールドにマッピングされます。 |
resource_url |
network.http.referral_url |
未加工ログの resource_url の値は、network.http.referral_url フィールドにマッピングされます。 |
ResourceType |
target.resource.resource_subtype |
未加工ログの ResourceType の値は、target.resource.resource_subtype フィールドにマッピングされます。 |
response_body |
additional.fields |
未加工ログの response_body の値は、キー「Response body」で Key-Value ペアとして additional.fields に追加されます。 |
Role |
target.resource.product_object_id |
未加工ログの Role の値は、target.resource.product_object_id フィールドにマッピングされます。 |
s3_bucket_path |
target.file.full_path |
未加工ログの s3_bucket_path の値は、target.file.full_path フィールドにマッピングされます。 |
sec_result.category |
security_result.category |
sec_result.category の値は、パーサーのロジックから導出されます。descr に「authentication is required」が含まれている場合、値は「AUTH_VIOLATION」です。 |
sec_result.description |
security_result.description |
sec_result.description の値は、パーサーのロジックから導出されます。存在する場合は cloudwatchLog の値に設定されます。 |
sec_result.severity |
security_result.severity |
sec_result.severity の値は、パーサーのロジックから導出されます。これは severity または level の値に基づいて設定されます。 |
sec_result.summary |
security_result.summary |
sec_result.summary の値は、パーサーのロジックから導出されます。存在する場合は、log_processed.cause または errorMessage の値に設定されます。 |
security_result |
security_result |
security_result オブジェクトは、さまざまなフィールドとパーサー ロジックから構築されます。 |
serverId |
additional.fields |
未加工ログの serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。 |
severity |
security_result.severity |
未加工ログの severity の値は大文字に変換されて正規化され、security_result.severity フィールドにマッピングされます。 |
Source |
principal.hostname |
未加工ログの Source の値は、principal.hostname フィールドにマッピングされます。 |
source |
principal.hostname |
未加工ログの source の値は、principal.hostname フィールドにマッピングされます。 |
SourceIP |
principal.ip |
未加工ログの SourceIP の値は、principal.ip フィールドにマッピングされます。 |
src_port |
principal.port |
src_port が「80」の場合、整数に変換されて principal.port フィールドにマッピングされ、network.application_protocol が「HTTP」に設定されます。 |
stream |
additional.fields |
未加工ログの stream の値は、キー「stream」で Key-Value ペアとして additional.fields に追加されます。 |
subscriptionFilters |
security_result.about.resource.attribute.labels |
未加工ログの subscriptionFilters 配列の各要素について、キーが「subscriptionFilter」で値が配列の値の Key-Value ペアが security_result.about.resource.attribute.labels に追加されます。 |
support_contact |
target.resource.attribute.labels |
未加工ログの support_contact の値は、キー「サポート連絡先」で Key-Value ペアとして target.resource.attribute.labels に追加されます。 |
t_ip |
target.ip |
未加工ログの t_ip の値からハイフンが削除され、IP アドレスとして解析されます。成功した場合は、target.ip フィールドにマッピングされます。 |
time |
metadata.event_timestamp |
未加工ログの time の値はタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
timestamp |
metadata.event_timestamp |
未加工ログの timestamp の値は、さまざまな形式を使用してタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
tls |
network.tls.version |
未加工ログの tls の値は、network.tls.version フィールドにマッピングされます。 |
transferDetails.serverId |
additional.fields |
未加工ログの transferDetails.serverId の値は、キー「server_id」で Key-Value ペアとして additional.fields に追加されます。 |
transferDetails.sessionId |
network.session_id |
未加工ログの transferDetails.sessionId の値は、network.session_id フィールドにマッピングされます。 |
transferDetails.username |
principal.user.user_display_name |
未加工ログの transferDetails.username の値は、principal.user.user_display_name フィールドにマッピングされます。 |
ts |
metadata.event_timestamp |
未加工ログの ts の値は、タイムゾーン(使用可能な場合)と組み合わされてタイムスタンプに変換され、metadata.event_timestamp フィールドにマッピングされます。 |
type |
metadata.product_event_type |
未加工ログの type の値は、metadata.product_event_type フィールドにマッピングされます。 |
unit |
additional.fields |
未加工ログの unit の値は、キー「unit」で Key-Value ペアとして additional.fields に追加されます。 |
url |
target.url |
未加工ログの url の値は、target.url フィールドにマッピングされます。 |
url_back_to_product |
metadata.url_back_to_product |
未加工ログの url_back_to_product の値は、metadata.url_back_to_product フィールドにマッピングされます。 |
User |
principal.user.userid |
未加工ログの User の値は、principal.user.userid フィールドにマッピングされます。 |
user |
target.user.userid、metadata.event_type、extensions.auth.mechanism |
user が存在する場合、metadata.event_type は「USER_LOGIN」に設定され、extensions.auth.mechanism は「NETWORK」に設定され、user の値は target.user.userid にマッピングされます。 |
value.count |
additional.fields |
未加工ログの value.count の値は文字列に変換され、キー「count」で Key-Value ペアとして additional.fields に追加されます。 |
value.max |
additional.fields |
未加工ログの value.max の値は文字列に変換され、キー「max」で Key-Value ペアとして additional.fields に追加されます。 |
value.min |
additional.fields |
未加工ログの value.min の値は文字列に変換され、キー「min」で Key-Value ペアとして additional.fields に追加されます。 |
value.sum |
additional.fields |
未加工ログの value.sum の値は文字列に変換され、キー「sum」を持つ additional.fields に Key-Value ペアとして追加されます。 |
workflowId |
additional.fields |
未加工ログの workflowId の値は、キー「workflowId」で Key-Value ペアとして additional.fields に追加されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。