Raccogliere i log AWS IAM

Supportato in:

Questo documento spiega come importare i log AWS IAM in Google Security Operations. Il parser trasforma i log non elaborati in formato JSON in un modello UDM (Unified Data Model) strutturato. Estrae i campi pertinenti, come i dettagli utente, le informazioni sui ruoli, le autorizzazioni e i timestamp, mappandoli ai campi UDM corrispondenti per un'analisi della sicurezza coerente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso privilegiato alla console AWS
  • Autorizzazioni per creare utenti, ruoli e policy IAM

Scegliere il metodo di integrazione

Google SecOps supporta due metodi per l'importazione dei dati AWS IAM:

Metodo A: CloudTrail + Amazon S3 (log attività)

  • Cosa raccoglie: log delle attività IAM (chi ha eseguito quali azioni)
  • Origine dati: eventi AWS CloudTrail
  • Latenza: diversi minuti (basata sul polling)
  • Caso d'uso: traccia di controllo storica, report di conformità
  • Tipo di origine feed: Amazon S3 V2

Metodo B: API di terze parti (snapshot della configurazione)

  • Dati raccolti: dati di configurazione IAM (utenti, gruppi, ruoli, policy)
  • Origine dati: chiamate dirette all'API AWS IAM
  • Latenza: quasi in tempo reale (polling periodico)
  • Caso d'uso: monitoraggio della configurazione IAM in tempo reale, revisione dell'accesso
  • Tipo di origine feed: API di terze parti

Metodo A: integrazione di CloudTrail e Amazon S3

Questo metodo utilizza AWS CloudTrail per acquisire l'attività IAM e archivia i log in Amazon S3, che vengono poi importati da Google SecOps.

Crea un bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket.
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, iam-activity-logs-bucket).

Configura la policy del bucket S3 per CloudTrail

CloudTrail necessita delle autorizzazioni per scrivere i log nel tuo bucket S3.

  1. Nella console Amazon S3, seleziona il bucket.
  2. Vai a Autorizzazioni > Policy del bucket.

  3. Fai clic su Modifica e aggiungi la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudTrailAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
    },
    {
      "Sid": "CloudTrailWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}
    • Sostituisci iam-activity-logs-bucket con il nome del bucket effettivo.

  4. Fai clic su Salva modifiche.

Configura CloudTrail per acquisire l'attività IAM

  1. Accedi alla console di gestione AWS.
  2. Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.
  3. Fai clic su Crea percorso.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome trail: inserisci un nome descrittivo (ad esempio, IAMActivityTrail).
    • Applica traccia a tutte le regioni: seleziona per acquisire le attività in tutte le regioni.
    • Posizione di archiviazione: seleziona Usa bucket S3 esistente e scegli il bucket creato in precedenza.
    • Prefisso file di log (facoltativo): inserisci un prefisso (ad esempio, iam-logs/).
    • Crittografia SSE-KMS del file di log: facoltativo. Se attivata, crea o seleziona una chiave KMS.
  5. Fai clic su Avanti.
  6. Configura la selezione degli eventi:
    • Eventi di gestione: seleziona Lettura e Scrittura per acquisire gli eventi di lettura e scrittura sulle risorse IAM.
    • Eventi di dati: facoltativo. Se necessario, attiva gli eventi di dati S3 e Lambda.
    • Eventi approfondimenti: facoltativo. Attiva per il rilevamento di attività insolite.
  7. Fai clic su Avanti.
  8. Rivedi la configurazione e fai clic su Crea trail.
  1. Nella console Amazon S3, seleziona il bucket.
  2. Vai a Proprietà > Controllo delle versioni del bucket.
  3. Fai clic su Modifica.
  4. Seleziona Attiva.
  5. Fai clic su Salva modifiche.

Crea un utente IAM per l'accesso a Google SecOps S3

  1. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  2. Seleziona l'utente creato.
  3. Seleziona la scheda Credenziali di sicurezza.
  4. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  5. Seleziona Servizio di terze parti come Caso d'uso.
  6. Fai clic su Avanti.
  7. (Facoltativo) Aggiungi un tag di descrizione.
  8. Fai clic su Crea chiave di accesso.
  9. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  10. Fai clic su Fine.
  11. Seleziona la scheda Autorizzazioni.
  12. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  13. Seleziona Aggiungi autorizzazioni.
  14. Seleziona Allega direttamente i criteri.
  15. Fai clic su Crea policy in una nuova scheda.
  16. Nell'editor dei criteri, seleziona la scheda JSON.

  17. Inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::iam-activity-logs-bucket",
        "arn:aws:s3:::iam-activity-logs-bucket/*"
      ]
    }
  ]
}
    • Sostituisci iam-activity-logs-bucket con il nome del bucket effettivo.

  18. Fai clic su Avanti.

  19. Assegna al criterio il nome chronicle-s3-read-policy.

  20. Fai clic su Crea policy.

  21. Torna alla scheda di creazione dell'utente e aggiorna l'elenco dei criteri.

  22. Cerca e seleziona chronicle-s3-read-policy.

  23. Fai clic su Avanti.

  24. Fai clic su Aggiungi autorizzazioni.

(Facoltativo) Crea la funzione Lambda per l'esportazione in tempo reale

Se hai bisogno di un'esportazione quasi in tempo reale dei log di CloudTrail in S3:

  1. Nella console AWS, vai a Lambda > Funzioni > Crea funzione.
  2. Fai clic su Crea da zero.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome ExportIAMLogsToS3
    Tempo di esecuzione Python 3.13
    Architettura x86_64
    Ruolo di esecuzione Crea un nuovo ruolo con autorizzazioni Lambda di base

  4. Fai clic su Crea funzione.

  5. Dopo aver creato la funzione, apri la scheda Codice, elimina lo stub e inserisci il seguente codice:

    import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='iam-activity-logs-bucket',
        Key=f'iam-logs/{log_stream}.gz',
        Body=compressed_data
    )

    return {
        'statusCode': 200,
        'body': 'Logs exported successfully'
    }
    • Sostituisci iam-activity-logs-bucket con il nome del tuo bucket.

  6. Fai clic su Esegui il deployment per salvare il codice della funzione.

(Facoltativo) Configura le autorizzazioni del ruolo di esecuzione Lambda

  1. Nella stessa funzione, seleziona la scheda Configurazione.
  2. Seleziona Autorizzazioni dal menu a sinistra.
  3. Fai clic sul nome del ruolo di esecuzione per aprirlo nella console IAM.
  4. Fai clic su Aggiungi autorizzazioni > Allega policy.
  5. Fai clic su Crea policy in una nuova scheda.

  6. Seleziona la scheda JSON e incolla i seguenti criteri:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
    }
  ]
}
    • Sostituisci iam-activity-logs-bucket con il nome del tuo bucket.

  7. Fai clic su Avanti.

  8. Assegna al criterio il nome lambda-iam-logs-export-policy.

  9. Fai clic su Crea policy.

  10. Torna alla scheda Ruolo e aggiorna la pagina.

  11. Cerca e seleziona lambda-iam-logs-export-policy.

  12. Fai clic su Aggiungi autorizzazioni.

(Facoltativo) Configura il timeout di Lambda

  1. Nella funzione Lambda, rimani nella scheda Configuration (Configurazione).
  2. Seleziona Configurazione generale dal menu a sinistra.
  3. Fai clic su Modifica.
  4. Modifica Timeout impostandolo su 5 minuti (300 secondi).
  5. Fai clic su Salva.

(Facoltativo) Configura il trigger Lambda per CloudWatch Logs

  1. Nella funzione Lambda, seleziona la sezione Panoramica della funzione in alto.
  2. Fai clic su Aggiungi attivatore.
  3. Nel menu a discesa Configurazione trigger, seleziona CloudWatch Logs.
  4. Fornisci i seguenti dettagli di configurazione:
    • Gruppo di log: seleziona o inserisci il gruppo di log CloudWatch Logs associato a CloudTrail (ad esempio /aws/cloudtrail/).
    • Nome filtro: inserisci un nome descrittivo (ad esempio, IAM-events-filter).
    • Pattern di filtro: lascia vuoto per acquisire tutti gli eventi o inserisci un pattern specifico.
  5. Fai clic su Aggiungi.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS IAM

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS IAM.

  3. Specifica i valori nei seguenti campi.

    • Tipo di origine: API di terze parti
    • Nome utente: nome utente per l'autenticazione
    • Secret: secret per l'autenticazione

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Utilizzo delle impostazioni SIEM

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, AWS IAM CloudTrail Logs).
  5. Seleziona Amazon S3 V2 come Tipo di origine.
  6. Seleziona AWS IAM come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI S3: s3://iam-activity-logs-bucket/

      • Sostituisci iam-activity-logs-bucket con il nome del bucket effettivo.

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • In caso di esito positivo: elimina tutti i file e le directory vuote dopo il trasferimento riuscito (per l'ottimizzazione dei costi).

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Metodo B: integrazione di API di terze parti

Questo metodo utilizza chiamate API AWS IAM dirette per raccogliere i dati di configurazione IAM attuali (utenti, gruppi, ruoli, policy).

Ottenere gli intervalli IP di Google SecOps

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Prendi nota degli intervalli IP visualizzati nella parte superiore della pagina.
  4. In alternativa, recupera gli intervalli IP in modo programmatico utilizzando l'API Feed Management.

Crea un utente IAM con le autorizzazioni richieste

  1. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  2. Seleziona l'utente creato.
  3. Seleziona la scheda Credenziali di sicurezza.
  4. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  5. Seleziona Servizio di terze parti come Caso d'uso.
  6. Fai clic su Avanti.
  7. (Facoltativo) Aggiungi un tag di descrizione.
  8. Fai clic su Crea chiave di accesso.
  9. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  10. Fai clic su Fine.
  11. Seleziona la scheda Autorizzazioni.
  12. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  13. Seleziona Aggiungi autorizzazioni.
  14. Seleziona Allega direttamente i criteri.
  15. Cerca IAMReadOnlyAccess (policy gestita da AWS).
  16. Seleziona la policy.
  17. Fai clic su Avanti.
  18. Fai clic su Aggiungi autorizzazioni.

Importante:la policy IAMReadOnlyAccess include tutte le autorizzazioni richieste:

  • iam:GetUser
  • iam:ListUsers
  • iam:GetGroup
  • iam:ListGroups
  • iam:GetPolicy
  • iam:ListPolicies
  • iam:GetRole
  • iam:ListRoles
  • iam:ListAttachedUserPolicies
  • iam:ListAttachedGroupPolicies
  • iam:ListAttachedRolePolicies
  • iam:GetAccountSummary

Opzione B: crea una norma personalizzata (privilegio minimo)

Se la tua policy di sicurezza richiede autorizzazioni minime anziché la policy gestita:

  1. Nella console AWS, vai a IAM > Policy > Crea policy > scheda JSON.

  2. Incolla il seguente criterio:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:GetGroup",
        "iam:ListGroups",
        "iam:GetPolicy",
        "iam:ListPolicies",
        "iam:GetRole",
        "iam:ListRoles",
        "iam:ListAttachedUserPolicies",
        "iam:ListAttachedGroupPolicies",
        "iam:ListAttachedRolePolicies",
        "iam:GetAccountSummary"
      ],
      "Resource": "*"
    }
  ]
}

  3. Fai clic su Avanti.

  4. Assegna al criterio il nome chronicle-iam-api-read-policy.

  5. Fai clic su Crea policy.

  6. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.

  7. Seleziona l'utente creato.

  8. Seleziona la scheda Credenziali di sicurezza.

  9. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.

  10. Seleziona Servizio di terze parti come Caso d'uso.

  11. Fai clic su Avanti.

  12. (Facoltativo) Aggiungi un tag di descrizione.

  13. Fai clic su Crea chiave di accesso.

  14. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.

  15. Fai clic su Fine.

  16. Seleziona la scheda Autorizzazioni.

  17. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.

  18. Seleziona Aggiungi autorizzazioni.

  19. Seleziona Allega direttamente i criteri.

  20. Cerca e seleziona chronicle-iam-api-read-policy.

  21. Fai clic su Avanti.

  22. Fai clic su Aggiungi autorizzazioni.

Configura un feed in Google SecOps per importare i dati di configurazione IAM

Utilizzo dell'hub dei contenuti (consigliato)

  1. Vai a Hub dei contenuti > Pacchetti di contenuti > Inizia.
  2. Fai clic sul pacchetto Amazon Cloud Platform.
  3. Individua il tipo di log AWS IAM.
  4. Seleziona API di terze parti dal menu a discesa Tipo di origine.
  5. Fornisci i seguenti dettagli di configurazione:
    • Nome utente: l'ID chiave di accesso dell'utente IAM creato in precedenza.
    • Secret: la chiave di accesso segreta dell'utente IAM creato in precedenza.
    • Nome feed: un valore precompilato che identifica il feed (ad esempio, AWS IAM API Configuration).
    • Spazio dei nomi asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
  6. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Utilizzo delle impostazioni SIEM

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, AWS IAM API Configuration).
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona AWS IAM come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Nome utente: l'ID chiave di accesso dell'utente IAM creato in precedenza.
    • Secret: la chiave di accesso segreta dell'utente IAM creato in precedenza.
    • Regione: la regione AWS (ad esempio, us-east-1).
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
Arn entity.entity.resource.name Mappato direttamente dal campo ARN. Applicato a vari tipi di entità. Per il tipo di entità GROUP, mappato da Group.Arn.
AssumeRolePolicyDocument entity.entity.resource.attribute.permissions.name Mappato direttamente dal campo AssumeRolePolicyDocument, ma solo per il tipo di entità RESOURCE.
CreateDate entity.entity.user.attribute.creation_time Mappato direttamente dal campo CreateDate e convertito nel formato timestamp di Chronicle.
CreateDate entity.entity.resource.attribute.creation_time Mappato direttamente dal campo CreateDate e convertito nel formato timestamp di Chronicle.
Group.Arn entity.entity.resource.name Mappato direttamente dal campo Group.Arn.
Group.CreateDate entity.entity.group.attribute.creation_time Mappato direttamente dal campo Group.CreateDate e convertito nel formato timestamp di Chronicle.
Group.GroupID entity.entity.group.product_object_id Mappato direttamente dal campo Group.GroupID.
Group.GroupName entity.entity.group.group_display_name Mappato direttamente dal campo Group.GroupName.
Group.GroupName entity.entity.group.email_addresses Mappato direttamente dal campo Group.GroupName.
Group.Path entity.entity.group.attribute.labels.value Mappata direttamente dal campo Group.Path, la chiave è codificata in modo permanente nel percorso.
IsTruncated entity.entity.group.attribute.labels.value Mappata direttamente dal campo IsTruncated convertito in stringa, la chiave è hardcoded su is_truncated.
Marker entity.entity.group.attribute.labels.value Mappata direttamente dal campo Indicatore, la chiave è hardcoded all'indicatore.
PasswordLastUsed entity.entity.user.last_login_time Mappato direttamente dal campo PasswordLastUsed e convertito nel formato timestamp di Chronicle.
Path entity.entity.user.attribute.labels.value Mappata direttamente dal campo Percorso per il tipo di entità USER, la chiave è codificata in modo permanente nel percorso.
Path entity.entity.resource.attribute.labels.value Mappata direttamente dal campo Percorso per il tipo di entità RISORSA, la chiave è hardcoded sul percorso.
PermissionsBoundary.PermissionsBoundaryArn entity.entity.resource.attribute.labels.value Mappata direttamente dal campo PermissionsBoundary.PermissionsBoundaryArn, la chiave è codificata in modo permanente in permissions_boundary_arn.
PermissionsBoundary.PermissionsBoundaryType entity.entity.resource.attribute.labels.value Mappata direttamente dal campo PermissionsBoundary.PermissionsBoundaryType, la chiave è codificata in modo permanente su permissions_boundary_type.
RoleID entity.entity.resource.product_object_id Mappato direttamente dal campo RoleID.
RoleLastUsed.LastUsedDate entity.entity.resource.attribute.labels.value Mappata direttamente dal campo RoleLastUsed.LastUsedDate, la chiave è codificata in modo permanente su role_last_used_date.
RoleLastUsed.Region entity.entity.location.name Mappato direttamente dal campo RoleLastUsed.Region.
RoleName entity.entity.resource.attribute.roles.name Mappato direttamente dal campo RoleName.
Tags.Key entity.entity.user.attribute.labels.key Utilizzato come chiave per le etichette nell'entità utente.
Tags.Value entity.entity.user.attribute.labels.value Utilizzato come valore per le etichette nell'entità utente.
UserID entity.entity.user.product_object_id Mappato direttamente dal campo UserID.
UserName entity.entity.user.userid Mappato direttamente dal campo UserName.
Users.Arn relations.entity.resource.name Mappato direttamente dal campo Users.Arn all'interno della relazione utente.
Users.CreateDate relations.entity.user.attribute.creation_time Mappato direttamente dal campo Users.CreateDate all'interno della relazione utente e convertito nel formato timestamp di Chronicle.
Users.PasswordLastUsed relations.entity.user.last_login_time Mappato direttamente dal campo Users.PasswordLastUsed all'interno della relazione utente e convertito nel formato timestamp di Chronicle.
Users.Path relations.entity.user.attribute.labels.value Mappata direttamente dal campo Users.Path all'interno della relazione utente, la chiave è codificata in modo permanente nel percorso.
Users.PermissionsBoundary.PermissionsBoundaryArn relations.entity.resource.attribute.labels.value Mappata direttamente dal campo Users.PermissionsBoundary.PermissionsBoundaryArn all'interno della relazione utente, la chiave è codificata in modo permanente in permissions_boundary_arn.
Users.PermissionsBoundary.PermissionsBoundaryType relations.entity.resource.attribute.labels.value Mappata direttamente dal campo Users.PermissionsBoundary.PermissionsBoundaryType all'interno della relazione utente, la chiave è codificata in modo permanente in permissions_boundary_type.
Users.UserID relations.entity.user.product_object_id Mappato direttamente dal campo Users.UserID all'interno della relazione utente.
Users.UserName relations.entity.user.userid Mappato direttamente dal campo Users.UserName all'interno della relazione utente.
N/D entity.metadata.collected_timestamp Completato con il timestamp di importazione dell'evento.
N/D entity.metadata.vendor_name Codificato in modo permanente in AWS.
N/D entity.metadata.product_name Codificato in modo permanente in AWS IAM.
N/D entity.metadata.entity_type Determinato in base alla presenza di campi specifici: USER se esiste UserID, RESOURCE se esiste RoleID, GROUP se esiste Group.GroupName.
N/D entity.entity.resource.resource_subtype Imposta Utente per i tipi di entità UTENTE e Ruolo per il tipo di entità RISORSA.
N/D entity.entity.resource.resource_type Imposta su ACCESS_POLICY per il tipo di entità RESOURCE.
N/D entity.entity.resource.attribute.cloud.environment Codificato in modo permanente su AMAZON_WEB_SERVICES.
N/D relations.entity_type Codificato come USER per le relazioni utente.
N/D relations.relationship Codificato come MEMBRO per le relazioni tra gruppi di utenti.
N/D relations.direction Codificato in modo permanente su UNIDIRECTIONAL.
N/D relations.entity.resource.resource_subtype Codificato come Utente per le relazioni con gli utenti.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.