AWS CloudWatch-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS CloudWatch-Logs mit Amazon S3 in Google Security Operations aufnehmen.

AWS CloudWatch ist ein Monitoring- und Observability-Dienst, der Betriebsdaten in Form von Logs, Messwerten und Ereignissen aus AWS-Ressourcen und -Anwendungen erfasst. Bei dieser Integration wird Amazon Data Firehose verwendet, um CloudWatch-Logdaten in einen S3-Bucket zu streamen, der dann von Google SecOps über einen Amazon S3 V2-Feed aufgenommen wird.

Hinweise

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf die AWS Management Console mit Berechtigungen zum Verwalten von:
    • Amazon CloudWatch Logs (Loggruppen, Abonnementfilter)
    • Amazon Data Firehose (Bereitstellungsstreams)
    • Amazon S3 (Buckets)
    • AWS IAM (Rollen, Richtlinien, Nutzer)

AWS S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. cwlogs-to-secops).

IAM-Rolle für Amazon Data Firehose konfigurieren

Amazon Data Firehose erfordert eine IAM-Rolle, um Protokolle in Ihren S3-Bucket zu schreiben.

IAM-Richtlinie erstellen

  1. Rufen Sie in der AWS Console IAM > Richtlinien > Richtlinie erstellen auf.
  2. Wählen Sie den Tab JSON aus.

  3. Fügen Sie die folgende Richtlinie ein und ersetzen Sie cwlogs-to-secops durch den Namen Ihres Buckets:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Delivery",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::cwlogs-to-secops",
                "arn:aws:s3:::cwlogs-to-secops/*"
            ]
        },
        {
            "Sid": "CloudWatchLogging",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/cwlogs-to-secops:log-stream:*"
        }
    ]
}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Feld Richtlinienname den Namen FirehoseS3DeliveryPolicy ein.

  6. Klicken Sie auf Richtlinie erstellen.

IAM-Rolle erstellen

  1. Klicken Sie auf IAM > Rollen > Rolle erstellen.
  2. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus.

  3. Fügen Sie die folgende Vertrauensrichtlinie ein:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "firehose.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Klicken Sie auf Weiter.

  5. Suchen Sie nach FirehoseS3DeliveryPolicy und wählen Sie die Option aus.

  6. Klicken Sie auf Weiter.

  7. Geben Sie im Feld Rollenname FirehoseToS3Role ein.

  8. Klicken Sie auf Rolle erstellen.

Amazon Data Firehose-Stream erstellen

  1. Öffnen Sie die Kinesis-Konsole unter https://console.aws.amazon.com/kinesis.
  2. Wählen Sie im Navigationsbereich Amazon Data Firehose aus.
  3. Klicken Sie auf Firehose-Stream erstellen.
  4. Geben Sie unter Quelle und Ziel auswählen die folgende Konfiguration an:
    • Quelle: Wählen Sie Direct PUT aus.
    • Ziel: Wählen Sie Amazon S3 aus.
  5. Geben Sie im Feld Firehose-Streamname cwlogs-to-secops ein.

  6. Klicken Sie unter Datensätze transformieren im Abschnitt Quelldatensätze aus Amazon CloudWatch Logs dekomprimieren auf:

    1. Wählen Sie Dekomprimierung aktivieren aus.
    2. Wählen Sie Nachrichtenextraktion aktivieren nicht aus.

  7. Unter Zieleinstellungen:

    • S3-Bucket: Wählen Sie den S3-Bucket cwlogs-to-secops aus.
    • S3-Bucket-Präfix (optional): Geben Sie cloudwatch-logs/ ein.
    • S3-Bucket-Fehlerausgabepräfix (optional): Geben Sie firehose-errors/ ein.

  8. Unter Pufferhinweise:

    • Puffergröße: 5 MiB (Standard).
    • Pufferintervall: 300 Sekunden (Standard).

  9. Unter Erweiterte Einstellungen:

    • Serverseitige Verschlüsselung: Optional. Aktivieren Sie diese Option, wenn eine Verschlüsselung erforderlich ist.
    • Fehlerprotokollierung: Wählen Sie Aktiviert aus (empfohlen).
    • Berechtigungen: Wählen Sie Vorhandene IAM-Rolle auswählen und dann FirehoseToS3Role aus.

  10. Klicken Sie auf Firehose-Stream erstellen.

  11. Warten Sie, bis der Status des Streams Aktiv anzeigt.

IAM-Rolle für CloudWatch Logs konfigurieren

Für CloudWatch Logs ist eine IAM-Rolle erforderlich, um Logdaten an den Firehose-Stream zu senden.

IAM-Richtlinie erstellen

  1. Rufen Sie IAM > Richtlinien > Richtlinie erstellen auf.
  2. Wählen Sie den Tab JSON aus.

  3. Fügen Sie die folgende Richtlinie ein und ersetzen Sie <region> und <account-id> durch Ihre AWS-Region und Konto-ID:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
        }
    ]
}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Feld Richtlinienname den Namen CWLtoFirehoseWritePolicy ein.

  6. Klicken Sie auf Richtlinie erstellen.

IAM-Rolle erstellen

  1. Klicken Sie auf IAM > Rollen > Rolle erstellen.
  2. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus.

  3. Fügen Sie die folgende Vertrauensrichtlinie ein und ersetzen Sie <region> durch Ihre AWS-Region:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.<region>.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Klicken Sie auf Weiter.

  5. Suchen Sie nach CWLtoFirehoseWritePolicy und wählen Sie die Richtlinie aus.

  6. Klicken Sie auf Weiter.

  7. Geben Sie im Feld Rollenname CWLtoFirehoseRole ein.

  8. Klicken Sie auf Rolle erstellen.

CloudWatch Logs-Abo-Filter erstellen

  1. Rufen Sie in der AWS Console CloudWatch > Logs > Log groups auf.
  2. Wählen Sie die Zielloggruppe aus, die Sie an Google SecOps streamen möchten.
  3. Wählen Sie den Tab Abo-Filter aus.
  4. Klicken Sie auf Erstellen> Amazon Data Firehose-Abo-Filter erstellen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Ziel: Wählen Sie den Firehose-Stream cwlogs-to-secops aus.
    • Berechtigung erteilen: Wählen Sie die Rolle CWLtoFirehoseRole aus.
    • Name des Abo-Filters: Geben Sie einen aussagekräftigen Namen ein, z. B. secops-all-events.
    • Logformat: Wählen Sie Other (Sonstiges) aus.
    • Abonnementfiltermuster: Lassen Sie das Feld leer, um alle Ereignisse zu senden, oder geben Sie ein Filtermuster ein, um nur bestimmte Ereignisse zu senden.

  6. Klicken Sie auf Streaming starten.

IAM-Nutzer für Google SecOps konfigurieren

Google SecOps benötigt einen IAM-Nutzer mit Zugriff auf den S3-Bucket, um die bereitgestellten Logs aufzunehmen.

  1. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  2. Wählen Sie den erstellten Nutzer aus.
  3. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  4. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  5. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Fügen Sie ein Beschreibungstag hinzu.
  8. Klicken Sie auf Zugriffsschlüssel erstellen.
  9. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
  10. Klicken Sie auf Fertig.
  11. Wählen Sie den Tab Berechtigungen aus.
  12. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  13. Wählen Sie Berechtigungen hinzufügen aus.
  14. Wählen Sie Richtlinien direkt anhängen aus.
  15. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  16. Wählen Sie die Richtlinie aus.
  17. Klicken Sie auf Weiter.
  18. Klicken Sie auf Berechtigungen hinzufügen.

Feed in Google SecOps konfigurieren, um AWS CloudWatch-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie einen eindeutigen Namen für den Feednamen ein.
  5. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  6. Wählen Sie AWS CloudWatch als Logtyp aus.
  7. Klicken Sie auf Weiter und dann auf Senden.
  8. Geben Sie Werte für die folgenden Felder an:
    • S3-URI: s3://cwlogs-to-secops/cloudwatch-logs/
    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
    • Höchstalter von Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standardwert: 180 Tage).
    • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter und dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
account principal.user.userid Der Wert von account aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
account_id principal.user.userid Der Wert von account_id aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
AlertId metadata.product_log_id Der Wert von AlertId aus dem Rohlog wird dem Feld metadata.product_log_id zugeordnet.
arrivalTimestamp metadata.event_timestamp Der Wert von arrivalTimestamp aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
attemptsMade additional.fields Der Wert von attemptsMade aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „Attempts Made“ (Versuche) zu additional.fields hinzugefügt.
awsAccountId principal.asset_id Dem Wert von awsAccountId aus dem Rohlog wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
billed_duration additional.fields Der Wert von billed_duration aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „billed_duration“ zu additional.fields hinzugefügt.
BytesIn network.received_bytes Der Wert von BytesIn aus dem Rohlog wird in eine vorzeichenlose Ganzzahl konvertiert und dem Feld network.received_bytes zugeordnet.
cipher network.tls.cipher Der Wert von cipher aus dem Rohlog wird dem Feld network.tls.cipher zugeordnet.
Ciphers network.tls.client.supported_ciphers Der Wert von Ciphers aus dem Rohlog wird durch Kommas getrennt und jeder Wert wird dem network.tls.client.supported_ciphers-Array hinzugefügt.
cloudwatchLog security_result.description Der Wert von cloudwatchLog aus dem Rohlog wird dem Feld security_result.description zugeordnet.
CloudAccountId metadata.product_deployment_id Der Wert von CloudAccountId aus dem Rohlog wird dem Feld metadata.product_deployment_id zugeordnet.
CloudType target.resource.attribute.cloud.environment Der Wert von CloudType aus dem Rohlog bestimmt den Wert von target.resource.attribute.cloud.environment. Wenn CloudType „gcp“ ist, lautet der Wert „GOOGLE_CLOUD_PLATFORM“. Wenn CloudType „aws“ ist, lautet der Wert „AMAZON_WEB_SERVICES“. Wenn CloudType „azure“ ist, lautet der Wert „MICROSOFT_AZURE“.
Context.Execution.Id target.resource.attribute.labels Der Wert von Context.Execution.Id aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Context Id“ zu target.resource.attribute.labels hinzugefügt.
Context.Execution.Name target.resource.attribute.labels Der Wert von Context.Execution.Name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Context Name“ zu target.resource.attribute.labels hinzugefügt.
Context.Execution.RoleArn target.resource.product_object_id Der Wert von Context.Execution.RoleArn aus dem Rohlog wird dem Feld target.resource.product_object_id zugeordnet.
descr metadata.description Der Wert von descr aus dem Rohlog wird nach dem Entfernen von zusätzlichem Leerraum dem Feld metadata.description zugeordnet, sofern er nicht „-“ ist. Wenn descr leer ist, wird stattdessen der Wert von log verwendet.
destination.name target.location.country_or_region Der Wert von destination.name aus dem Rohlog wird dem Feld target.location.country_or_region zugeordnet.
destination.properties.prefix target.resource.attribute.labels Der Wert von destination.properties.prefix aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Destination properties prefix“ (Präfix für Zielvorhaben) zu target.resource.attribute.labels hinzugefügt.
detail.additionalEventData.configRuleArn security_result.rule_id Der Wert von detail.additionalEventData.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.additionalEventData.configRuleName security_result.rule_name Der Wert von detail.additionalEventData.configRuleName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
detail.additionalEventData.managedRuleIdentifier additional.fields Der Wert von detail.additionalEventData.managedRuleIdentifier aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „managedRuleIdentifier“ zu additional.fields hinzugefügt.
detail.additionalEventData.notificationJobType additional.fields Der Wert von detail.additionalEventData.notificationJobType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „notificationJobType“ zu additional.fields hinzugefügt.
detail.awsAccountId principal.asset_id Dem Wert von detail.awsAccountId aus dem Rohlog wird „AWS-Konto-ID:“ vorangestellt und er wird dem Feld principal.asset_id zugeordnet.
detail.awsRegion principal.location.name Der Wert von detail.awsRegion aus dem Rohlog wird dem Feld principal.location.name zugeordnet.
detail.configRuleArn security_result.rule_id Der Wert von detail.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.configRuleName security_result.rule_name Der Wert von detail.configRuleName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
detail.configurationItem.awsAccountId principal.user.userid Der Wert von detail.configurationItem.awsAccountId aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
detail.configurationItem.awsRegion target.location.country_or_region Der Wert von detail.configurationItem.awsRegion aus dem Rohlog wird dem Feld target.location.country_or_region zugeordnet.
detail.configurationItem.configuration.complianceType security_result.summary Der Wert von detail.configurationItem.configuration.complianceType aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels Der Wert von detail.configurationItem.configuration.targetResourceId aus dem Rohlog wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „configurationItem configuration targetResourceId“ hinzugefügt.
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels Der Wert von detail.configurationItem.configuration.targetResourceType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configuration targetResourceType“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time Der Wert von detail.configurationItem.configurationItemCaptureTime aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld _target.asset.attribute.creation_time zugeordnet.
detail.configurationItem.configurationItemStatus target.resource.attribute.labels Der Wert von detail.configurationItem.configurationItemStatus aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configurationItemStatus“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.configurationStateId target.resource.attribute.labels Der Wert von detail.configurationItem.configurationStateId aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „configurationItem configurationStateId“ zu target.resource.attribute.labels hinzugefügt.
detail.configurationItem.resourceId target.resource.id Der Wert von detail.configurationItem.resourceId aus dem Rohlog wird dem Feld target.resource.id zugeordnet.
detail.configurationItem.resourceType target.resource.resource_subtype Der Wert von detail.configurationItem.resourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id Der Wert von detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn aus dem Rohlog wird dem Feld security_result.rule_id zugeordnet.
detail.eventCategory security_result.category_details Der Wert von detail.eventCategory aus dem Rohlog wird dem Feld security_result.category_details zugeordnet.
detail.eventID metadata.product_log_id Der Wert von detail.eventID aus dem Rohlog wird dem Feld metadata.product_log_id zugeordnet.
detail.eventName additional.fields Der Wert von detail.eventName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Event Name“ zu additional.fields hinzugefügt.
detail.eventSource target.application Der Wert von detail.eventSource aus dem Rohlog wird dem Feld target.application zugeordnet.
detail.eventType additional.fields Der Wert von detail.eventType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Event Type“ (Ereignistyp) zu additional.fields hinzugefügt.
detail.eventVersion metadata.product_version Der Wert von detail.eventVersion aus dem Rohlog wird dem Feld metadata.product_version zugeordnet.
detail.managementEvent additional.fields Der Wert von detail.managementEvent aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „detail managementEvent“ zu additional.fields hinzugefügt.
detail.messageType target.resource.attribute.labels Der Wert von detail.messageType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Message Type“ (Nachrichtentyp) zu target.resource.attribute.labels hinzugefügt.
detail.newEvaluationResult.complianceType security_result.summary Der Wert von detail.newEvaluationResult.complianceType aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
detail.newEvaluationResult.configRuleInvokedTime additional.fields Der Wert von detail.newEvaluationResult.configRuleInvokedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleInvokedTime“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_configRuleName“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceId“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Der Wert von detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resourceType“ zu additional.fields hinzugefügt.
detail.newEvaluationResult.resultRecordedTime additional.fields Der Wert von detail.newEvaluationResult.resultRecordedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „newEvaluationResult_resultRecordedTime“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.configRuleInvokedTime additional.fields Der Wert von detail.oldEvaluationResult.configRuleInvokedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleInvokedTime“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_configRuleName“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceId“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Der Wert von detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resourceType“ zu additional.fields hinzugefügt.
detail.oldEvaluationResult.resultRecordedTime additional.fields Der Wert von detail.oldEvaluationResult.resultRecordedTime aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „oldEvaluationResult_resultRecordedTime“ zu additional.fields hinzugefügt.
detail.readOnly additional.fields Der Wert von detail.readOnly aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „detail readOnly“ zum additional.fields hinzugefügt.
detail.recipientAccountId target.resource.attribute.labels Der Wert von detail.recipientAccountId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Recipient Account Id“ (Empfängerkonto-ID) zu target.resource.attribute.labels hinzugefügt.
detail.recordVersion metadata.product_version Der Wert von detail.recordVersion aus dem Rohlog wird dem Feld metadata.product_version zugeordnet.
detail.requestID target.resource.attribute.labels Der Wert von detail.requestID aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Detail Request ID“ (Detailanfrage-ID) zu target.resource.attribute.labels hinzugefügt.
detail.resourceType target.resource.resource_subtype Der Wert von detail.resourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
detail.s3Bucket about.resource.name Der Wert von detail.s3Bucket aus dem Rohlog wird dem Feld about.resource.name zugeordnet.
detail.s3ObjectKey target.resource.attribute.labels Der Wert von detail.s3ObjectKey aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „s3ObjectKey“ zu target.resource.attribute.labels hinzugefügt.
detail.userAgent network.http.user_agent Der Wert von detail.userAgent aus dem Rohlog wird dem Feld network.http.user_agent zugeordnet.
detail.userIdentity.accessKeyId target.user.userid Der Wert von detail.userIdentity.accessKeyId aus dem Rohlog wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.accountId metadata.product_deployment_id Der Wert von detail.userIdentity.accountId aus dem Rohlog wird dem Feld metadata.product_deployment_id zugeordnet.
detail.userIdentity.arn target.user.userid Der Wert von detail.userIdentity.arn aus dem Rohlog wird dem Feld target.user.userid zugeordnet.
detail.userIdentity.principalId principal.user.product_object_id Der Wert von detail.userIdentity.principalId aus dem Rohlog wird dem Feld principal.user.product_object_id zugeordnet.
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels Der Wert von detail.userIdentity.sessionContext.attributes.mfaAuthenticated aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „mfaAuthenticated“ zu principal.user.attribute.labels hinzugefügt.
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name Der Wert von detail.userIdentity.sessionContext.sessionIssuer.userName aus dem Rohlog wird dem Feld target.user.user_display_name zugeordnet.
detail.userIdentity.type principal.resource.type Der Wert von detail.userIdentity.type aus dem Rohlog wird dem Feld principal.resource.type zugeordnet.
detail-type metadata.product_event_type Der Wert von detail-type aus dem Rohlog wird dem Feld metadata.product_event_type zugeordnet.
device principal.asset.product_object_id Der Wert von device aus dem Rohlog wird dem Feld principal.asset.product_object_id zugeordnet.
digestPublicKeyFingerprint target.file.sha1 Der Wert von digestPublicKeyFingerprint aus dem Rohlog wird dem Feld target.file.sha1 zugeordnet.
digestS3Bucket principal.resource.name Der Wert von digestS3Bucket aus dem Rohlog wird dem Feld principal.resource.name zugeordnet.
digestS3Object principal.asset.asset_id Der Wert von digestS3Object aus dem Rohlog wird mit „S3 Object: “ vorangestellt und dem Feld principal.asset.asset_id zugeordnet.
digestSignatureAlgorithm network.tls.cipher Der Wert von digestSignatureAlgorithm aus dem Rohlog wird dem Feld network.tls.cipher zugeordnet.
digestStartTime metadata.event_timestamp Der Wert von digestStartTime aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
dimensions.VolumeId additional.fields Der Wert von dimensions.VolumeId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „VolumeId“ zu additional.fields hinzugefügt.
duration additional.fields Der Wert von duration aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „duration“ zu additional.fields hinzugefügt.
errorCode security_result.rule_name Der Wert von errorCode aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
errorMessage security_result.summary Der Wert von errorMessage aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
executionId principal.process.pid Der Wert von executionId aus dem Rohlog wird dem Feld principal.process.pid zugeordnet.
host principal.hostname, principal.ip Der Wert von host aus dem Rohlog wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn dies erfolgreich ist. Dabei werden Bindestriche durch Punkte ersetzt. Andernfalls wird sie dem Feld principal.hostname zugeordnet.
http_verb network.http.method Der Wert von http_verb aus dem Rohlog wird in Großbuchstaben konvertiert und dem Feld network.http.method zugeordnet.
kubernetes.container_hash additional.fields Der Wert von kubernetes.container_hash aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_hash“ zu additional.fields hinzugefügt.
kubernetes.container_image additional.fields Der Wert von kubernetes.container_image aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_image“ zu additional.fields hinzugefügt.
kubernetes.container_name additional.fields Der Wert von kubernetes.container_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „container_name“ zu additional.fields hinzugefügt.
kubernetes.docker_id principal.asset_id Der Wert von kubernetes.docker_id aus dem Rohlog wird mit „id: “ vorangestellt und dem Feld principal.asset_id zugeordnet.
kubernetes.host principal.hostname, principal.ip Der Wert von kubernetes.host aus dem Rohlog wird als IP-Adresse geparst und dem Feld principal.ip zugeordnet, wenn dies erfolgreich ist. Dabei werden Bindestriche durch Punkte ersetzt. Andernfalls wird sie dem Feld principal.hostname zugeordnet.
kubernetes.namespace principal.namespace Der Wert von kubernetes.namespace aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
kubernetes.namespace_name principal.namespace Der Wert von kubernetes.namespace_name aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
kubernetes.pod_id principal.asset.asset_id Der Wert von kubernetes.pod_id aus dem Rohlog wird mit „pod_id: “ vorangestellt und dem Feld principal.asset.asset_id zugeordnet.
kubernetes.pod_name additional.fields Der Wert von kubernetes.pod_name aus dem Rohlog wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „pod name“ hinzugefügt.
lambdaArn principal.hostname Der Wert von lambdaArn aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
level security_result.severity Der Wert von level aus dem Rohlog bestimmt den Wert von security_result.severity. Wenn level „Info“ ist, lautet der Wert „INFORMATIONAL“. Wenn level „Error“ ist, lautet der Wert „ERROR“. Wenn level „Warning“ ist, lautet der Wert „MEDIUM“.
log metadata.description Der Wert von log aus dem Rohlog wird dem Feld metadata.description zugeordnet, wenn descr leer ist.
logFiles about Für jedes Element im logFiles-Array aus dem Rohlog wird ein about-Objekt mit file.full_path auf s3Object, asset.hostname auf s3Bucket und file.sha256 auf hashValue festgelegt.
log_processed.cause security_result.summary Der Wert von log_processed.cause aus dem Rohlog wird dem Feld security_result.summary zugeordnet.
log_processed.ids intermediary.hostname Für jedes Element im log_processed.ids-Array aus dem Rohlog wird ein intermediary-Objekt mit hostname erstellt, das auf den Wert des Elements festgelegt ist.
log_processed.level security_result.severity Der Wert von log_processed.level aus dem Rohlog wird dem Feld security_result.severity zugeordnet.
log_processed.msg metadata.description Der Wert von log_processed.msg aus dem Rohlog wird dem Feld metadata.description zugeordnet.
log_processed.ts metadata.event_timestamp Der Wert von log_processed.ts aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
log_type metadata.log_type Der Wert von log_type aus dem Rohlog wird dem Feld metadata.log_type zugeordnet. Dies ist ein benutzerdefiniertes Feld, das zur Bereitstellung von Kontext hinzugefügt wurde.
logevent.message security_result.description Der Wert von logevent.message aus dem Rohlog wird dem Feld security_result.description zugeordnet. Sie wird auch mit grok geparst, um zusätzliche Felder zu extrahieren.
logGroup security_result.about.resource.name Der Wert von logGroup aus dem Rohlog wird dem Feld security_result.about.resource.name zugeordnet.
logStream security_result.about.resource.attribute.labels Der Wert von logStream aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „logStream“ zu security_result.about.resource.attribute.labels hinzugefügt.
memory_used additional.fields Der Wert von memory_used aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „memory_used“ zu additional.fields hinzugefügt.
metric_name additional.fields Der Wert von metric_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „metric_name“ zu additional.fields hinzugefügt.
metric_stream_name additional.fields Der Wert von metric_stream_name aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „metric_stream_name“ zu additional.fields hinzugefügt.
namespace principal.namespace Der Wert von namespace aus dem Rohlog wird dem Feld principal.namespace zugeordnet.
owner principal.user.userid Der Wert von owner aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
parameters additional.fields Der Wert von parameters aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Parameters“ zu additional.fields hinzugefügt.
Path principal.process.file.full_path Der Wert von Path aus dem Rohlog wird dem Feld principal.process.file.full_path zugeordnet.
pid principal.process.pid Der Wert von pid aus dem Rohlog wird dem Feld principal.process.pid zugeordnet.
PolicyName security_result.rule_name Der Wert von PolicyName aus dem Rohlog wird dem Feld security_result.rule_name zugeordnet.
prin_host principal.hostname Der Wert von prin_host aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
principal_hostname principal.hostname Der Wert von principal_hostname aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
process principal.application Der Wert von process aus dem Rohlog wird dem Feld principal.application zugeordnet.
rawData additional.fields Der Wert von rawData aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Rohdaten“ zu additional.fields hinzugefügt.
Recommendation security_result.detection_fields Der Wert von Recommendation aus dem Rohlog wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „Recommendation“ hinzugefügt.
referral_url network.http.referral_url Der Wert von referral_url aus dem Rohlog wird dem Feld network.http.referral_url zugeordnet.
region principal.location.name Der Wert von region aus dem Rohlog wird dem Feld principal.location.name zugeordnet.
resp_code network.http.response_code Der Wert von resp_code aus dem Rohlog wird in eine Ganzzahl konvertiert und dem Feld network.http.response_code zugeordnet.
resource_url network.http.referral_url Der Wert von resource_url aus dem Rohlog wird dem Feld network.http.referral_url zugeordnet.
ResourceType target.resource.resource_subtype Der Wert von ResourceType aus dem Rohlog wird dem Feld target.resource.resource_subtype zugeordnet.
response_body additional.fields Der Wert von response_body aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Response body“ (Antworttext) zu additional.fields hinzugefügt.
Role target.resource.product_object_id Der Wert von Role aus dem Rohlog wird dem Feld target.resource.product_object_id zugeordnet.
s3_bucket_path target.file.full_path Der Wert von s3_bucket_path aus dem Rohlog wird dem Feld target.file.full_path zugeordnet.
sec_result.category security_result.category Der Wert von sec_result.category wird aus der Parserlogik abgeleitet. Wenn descr „Authentifizierung erforderlich“ enthält, ist der Wert „AUTH_VIOLATION“.
sec_result.description security_result.description Der Wert von sec_result.description wird aus der Parserlogik abgeleitet. Er wird auf den Wert von cloudwatchLog festgelegt, falls vorhanden.
sec_result.severity security_result.severity Der Wert von sec_result.severity wird aus der Parserlogik abgeleitet. Er wird basierend auf dem Wert von severity oder level festgelegt.
sec_result.summary security_result.summary Der Wert von sec_result.summary wird aus der Parserlogik abgeleitet. Er wird auf den Wert von log_processed.cause oder errorMessage gesetzt, falls vorhanden.
security_result security_result Das security_result-Objekt wird aus verschiedenen Feldern und Parserlogik erstellt.
serverId additional.fields Der Wert von serverId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ zu additional.fields hinzugefügt.
severity security_result.severity Der Wert von severity aus dem Rohlog, der in Großbuchstaben umgewandelt und normalisiert wurde, wird dem Feld security_result.severity zugeordnet.
Source principal.hostname Der Wert von Source aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
source principal.hostname Der Wert von source aus dem Rohlog wird dem Feld principal.hostname zugeordnet.
SourceIP principal.ip Der Wert von SourceIP aus dem Rohlog wird dem Feld principal.ip zugeordnet.
src_port principal.port Wenn src_port „80“ ist, wird es in eine Ganzzahl umgewandelt und dem Feld principal.port zugeordnet. network.application_protocol wird auf „HTTP“ festgelegt.
stream additional.fields Der Wert von stream aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „stream“ zu additional.fields hinzugefügt.
subscriptionFilters security_result.about.resource.attribute.labels Für jedes Element im subscriptionFilters-Array aus dem Rohlog wird dem security_result.about.resource.attribute.labels ein Schlüssel/Wert-Paar mit dem Schlüssel „subscriptionFilter“ und dem Wert aus dem Array hinzugefügt.
support_contact target.resource.attribute.labels Der Wert von support_contact aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „Support Contact“ (Supportkontakt) zu target.resource.attribute.labels hinzugefügt.
t_ip target.ip Der Wert von t_ip aus dem Rohlog wird nach dem Entfernen von Bindestrichen als IP-Adresse geparst und bei Erfolg dem Feld target.ip zugeordnet.
time metadata.event_timestamp Der Wert von time aus dem Rohlog wird in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
timestamp metadata.event_timestamp Der Wert von timestamp aus dem Rohlog wird mithilfe verschiedener Formate in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
tls network.tls.version Der Wert von tls aus dem Rohlog wird dem Feld network.tls.version zugeordnet.
transferDetails.serverId additional.fields Der Wert von transferDetails.serverId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „server_id“ zu additional.fields hinzugefügt.
transferDetails.sessionId network.session_id Der Wert von transferDetails.sessionId aus dem Rohlog wird dem Feld network.session_id zugeordnet.
transferDetails.username principal.user.user_display_name Der Wert von transferDetails.username aus dem Rohlog wird dem Feld principal.user.user_display_name zugeordnet.
ts metadata.event_timestamp Der Wert von ts aus dem Rohlog wird in Kombination mit der Zeitzone (falls verfügbar) in einen Zeitstempel konvertiert und dem Feld metadata.event_timestamp zugeordnet.
type metadata.product_event_type Der Wert von type aus dem Rohlog wird dem Feld metadata.product_event_type zugeordnet.
unit additional.fields Der Wert von unit aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „unit“ zu additional.fields hinzugefügt.
url target.url Der Wert von url aus dem Rohlog wird dem Feld target.url zugeordnet.
url_back_to_product metadata.url_back_to_product Der Wert von url_back_to_product aus dem Rohlog wird dem Feld metadata.url_back_to_product zugeordnet.
User principal.user.userid Der Wert von User aus dem Rohlog wird dem Feld principal.user.userid zugeordnet.
user target.user.userid, metadata.event_type, extensions.auth.mechanism Wenn user vorhanden ist, wird metadata.event_type auf „USER_LOGIN“ und extensions.auth.mechanism auf „NETWORK“ gesetzt. Der Wert von user wird target.user.userid zugeordnet.
value.count additional.fields Der Wert von value.count aus dem Rohlog wird in einen String konvertiert und als Schlüssel/Wert-Paar mit dem Schlüssel „count“ zu additional.fields hinzugefügt.
value.max additional.fields Der Wert von value.max aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „max“ zu additional.fields hinzugefügt.
value.min additional.fields Der Wert von value.min aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „min“ zu additional.fields hinzugefügt.
value.sum additional.fields Der Wert von value.sum aus dem Rohlog wird in einen String umgewandelt und als Schlüssel/Wert-Paar mit dem Schlüssel „sum“ zu additional.fields hinzugefügt.
workflowId additional.fields Der Wert von workflowId aus dem Rohlog wird als Schlüssel/Wert-Paar mit dem Schlüssel „workflowId“ zu additional.fields hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten