AWS IAM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie AWS IAM-Logs in Google Security Operations aufnehmen. Der Parser wandelt Rohlogs im JSON-Format in ein strukturiertes einheitliches Datenmodell (Unified Data Model, UDM) um. Es werden relevante Felder wie Nutzerdetails, Rolleninformationen, Berechtigungen und Zeitstempel extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine konsistente Sicherheitsanalyse zu ermöglichen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Zugriff auf die AWS-Konsole
Berechtigungen zum Erstellen von IAM-Nutzern, -Rollen und ‑Richtlinien

Integrationsmethode auswählen

Google SecOps unterstützt zwei Methoden zum Erfassen von AWS IAM-Daten:

Methode A: CloudTrail + Amazon S3 (Aktivitätsprotokolle)

Was wird erfasst?: IAM-Aktivitätsprotokolle (wer hat welche Aktionen ausgeführt?)
Datenquelle: AWS CloudTrail-Ereignisse
Latenz: Mehrere Minuten (pollingbasiert)
Anwendungsfall: Bisheriger Prüfpfad, Compliance-Berichte
Feedquelltyp: Amazon S3 V2

Methode B: Drittanbieter-API (Konfigurationsmomentaufnahme)

Erfasste Daten: IAM-Konfigurationsdaten (Nutzer, Gruppen, Rollen, Richtlinien)
Datenquelle: Direkte AWS IAM-API-Aufrufe
Latenz: Echtzeitnah (periodisches Polling)
Anwendungsfall: IAM-Konfiguration in Echtzeit überwachen, Zugriff überprüfen
Feedquellentyp: Drittanbieter-API

Methode A: CloudTrail- und Amazon S3-Integration

Bei dieser Methode wird AWS CloudTrail verwendet, um IAM-Aktivitäten zu erfassen. Die Logs werden in Amazon S3 gespeichert und dann von Google SecOps aufgenommen.

Amazon S3-Bucket erstellen

Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung im Nutzerhandbuch.
Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. iam-activity-logs-bucket).

S3-Bucket-Richtlinie für CloudTrail konfigurieren

CloudTrail benötigt Berechtigungen, um Protokolle in Ihren S3-Bucket zu schreiben.

Wählen Sie in der Amazon S3-Konsole Ihren Bucket aus.
Rufen Sie Berechtigungen > Bucket-Richtlinie auf.

Klicken Sie auf Bearbeiten und fügen Sie die folgende Richtlinie hinzu:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudTrailAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
    },
    {
      "Sid": "CloudTrailWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

Ersetzen Sie iam-activity-logs-bucket durch den tatsächlichen Namen Ihres Buckets.

Klicken Sie auf Änderungen speichern.

CloudTrail so konfigurieren, dass IAM-Aktivitäten erfasst werden

Melden Sie sich bei der AWS Management Console an.
Geben Sie in der Suchleiste CloudTrail ein und wählen Sie den Dienst aus der Liste aus.
Klicken Sie auf Trail erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Trails: Geben Sie einen aussagekräftigen Namen ein, z. B. IAMActivityTrail.
- Testlauf auf alle Regionen anwenden: Wählen Sie Ja aus, um Aktivitäten in allen Regionen zu erfassen.
- Speicherort: Wählen Sie Vorhandenen S3-Bucket verwenden aus und wählen Sie den zuvor erstellten Bucket aus.
- Präfix für Logdatei (optional): Geben Sie ein Präfix ein, z. B. iam-logs/.
- SSE-KMS-Verschlüsselung für Logdatei: Optional. Wenn diese Option aktiviert ist, erstellen oder wählen Sie einen KMS-Schlüssel aus.
Klicken Sie auf Weiter.
Ereignisauswahl konfigurieren:
- Verwaltungsereignisse: Wählen Sie Lesen und Schreiben aus, um sowohl Lese- als auch Schreibereignisse für IAM-Ressourcen zu erfassen.
- Datenereignisse: Optional. Aktivieren Sie bei Bedarf S3- und Lambda-Datenereignisse.
- Statistikereignisse: Optional. Aktivieren Sie diese Option, um ungewöhnliche Aktivitäten zu erkennen.
Klicken Sie auf Weiter.
Prüfen Sie die Konfiguration und klicken Sie auf Testlauf erstellen.

Optional: S3-Bucket-Versionsverwaltung aktivieren (empfohlen)

Wählen Sie in der Amazon S3-Konsole Ihren Bucket aus.
Rufen Sie Properties > Bucket Versioning auf.
Klicken Sie auf Bearbeiten.
Wählen Sie Aktivieren aus.
Klicken Sie auf Änderungen speichern.

IAM-Nutzer für den Google SecOps-S3-Zugriff erstellen

Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
Wählen Sie den erstellten Nutzer aus.
Wählen Sie den Tab Sicherheitsanmeldedaten aus.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Klicken Sie in einem neuen Tab auf Richtlinie erstellen.
Wählen Sie im Richtlinieneditor den Tab JSON aus.

Geben Sie die folgende Richtlinie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::iam-activity-logs-bucket",
        "arn:aws:s3:::iam-activity-logs-bucket/*"
      ]
    }
  ]
}

Ersetzen Sie iam-activity-logs-bucket durch den tatsächlichen Namen Ihres Buckets.

Klicken Sie auf Weiter.
Nennen Sie die Richtlinie chronicle-s3-read-policy.
Klicken Sie auf Richtlinie erstellen.
Kehren Sie zum Tab für die Nutzererstellung zurück und aktualisieren Sie die Richtlinienliste.
Suchen Sie nach chronicle-s3-read-policy und wählen Sie den Eintrag aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.

Optional: Lambda-Funktion für den Echtzeit-Export erstellen

Wenn Sie CloudTrail-Logs nahezu in Echtzeit nach S3 exportieren müssen:

Rufen Sie in der AWS Console Lambda > Funktionen > Funktion erstellen auf.
Klicken Sie auf Von Grund auf erstellen.
Geben Sie die folgenden Konfigurationsdetails an:

Einstellung Wert

Name ExportIAMLogsToS3

Laufzeit Python 3.13

Architektur x86_64

Ausführungsrolle Neue Rolle mit grundlegenden Lambda-Berechtigungen erstellen
Klicken Sie auf Funktion erstellen.

Einstellung	Wert
Name	`ExportIAMLogsToS3`
Laufzeit	Python 3.13
Architektur	x86_64
Ausführungsrolle	Neue Rolle mit grundlegenden Lambda-Berechtigungen erstellen

Nachdem die Funktion erstellt wurde, öffnen Sie den Tab Code, löschen Sie den Stub und geben Sie den folgenden Code ein:

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='iam-activity-logs-bucket',
        Key=f'iam-logs/{log_stream}.gz',
        Body=compressed_data
    )

    return {
        'statusCode': 200,
        'body': 'Logs exported successfully'
    }

Ersetzen Sie iam-activity-logs-bucket durch den Namen Ihres Buckets.

Klicken Sie auf Bereitstellen, um den Funktionscode zu speichern.

Optional: Berechtigungen für die Lambda-Ausführungsrolle konfigurieren

Wählen Sie in derselben Funktion den Tab Konfiguration aus.
Wählen Sie im Menü auf der linken Seite Berechtigungen aus.
Klicken Sie auf den Namen der Ausführungsrolle, um sie in der IAM-Konsole zu öffnen.
Klicken Sie auf Berechtigungen hinzufügen > Richtlinien anhängen.
Klicken Sie in einem neuen Tab auf Richtlinie erstellen.

Wählen Sie den Tab JSON aus und fügen Sie die folgende Richtlinie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
    }
  ]
}

Ersetzen Sie iam-activity-logs-bucket durch den Namen Ihres Buckets.

Klicken Sie auf Weiter.
Nennen Sie die Richtlinie lambda-iam-logs-export-policy.
Klicken Sie auf Richtlinie erstellen.
Kehren Sie zum Tab „Rolle“ zurück und aktualisieren Sie die Seite.
Suchen Sie nach lambda-iam-logs-export-policy und wählen Sie den Eintrag aus.
Klicken Sie auf Berechtigungen hinzufügen.

Optional: Lambda-Zeitüberschreitung konfigurieren

Bleiben Sie in der Lambda-Funktion auf dem Tab Konfiguration.
Wählen Sie im Menü auf der linken Seite Allgemeine Konfiguration aus.
Klicken Sie auf Bearbeiten.
Ändern Sie Zeitlimit in 5 Minuten (300 Sekunden).
Klicken Sie auf Speichern.

Optional: Lambda-Trigger für CloudWatch Logs konfigurieren

Wählen Sie in der Lambda-Funktion oben den Bereich Funktionsübersicht aus.
Klicken Sie auf Trigger hinzufügen.
Wählen Sie im Drop-down-Menü Triggerkonfiguration die Option CloudWatch Logs aus.
Geben Sie die folgenden Konfigurationsdetails an:
- Loggruppe: Wählen Sie die CloudWatch Logs-Loggruppe aus, die mit CloudTrail verknüpft ist, oder geben Sie sie ein (z. B. /aws/cloudtrail/).
- Filtername: Geben Sie einen aussagekräftigen Namen ein, z. B. IAM-events-filter.
- Filtermuster: Lassen Sie das Feld leer, um alle Ereignisse zu erfassen, oder geben Sie ein bestimmtes Muster ein.
Klicken Sie auf Hinzufügen.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
Content Hub > Content-Pakete > Erste Schritte

AWS IAM-Feed einrichten

Klicken Sie auf das Paket Amazon Cloud Platform.
Suchen Sie nach dem Logtyp AWS IAM.
Geben Sie die Werte in den folgenden Feldern an.
- Quelltyp: Drittanbieter-API
- Nutzername: Nutzername für die Authentifizierung
- Secret: Secret für die Authentifizierung
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

SIEM-Einstellungen verwenden

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS IAM CloudTrail Logs.
Wählen Sie Amazon S3 V2 als Quelltyp aus.
Wählen Sie AWS IAM als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- S3-URI: s3://iam-activity-logs-bucket/
  - Ersetzen Sie iam-activity-logs-bucket durch den tatsächlichen Namen Ihres Buckets.
  Hinweis: Fügen Sie am Ende des URI einen Schrägstrich (/) ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Bei Erfolg: Löscht alle Dateien und leeren Verzeichnisse nach erfolgreicher Übertragung (zur Kostenoptimierung).
  Hinweis :Wenn Sie die Löschoption auswählen, muss der IAM-Nutzer die Berechtigung s3:DeleteObject haben.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Methode B: Integration von Drittanbieter-APIs

Bei dieser Methode werden aktuelle IAM-Konfigurationsdaten (Nutzer, Gruppen, Rollen, Richtlinien) mithilfe direkter AWS IAM-API-Aufrufe erfasst.

Google SecOps-IP-Bereiche abrufen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Notieren Sie sich die IP-Bereiche, die oben auf der Seite angezeigt werden.
Alternativ können Sie IP-Adressbereiche programmatisch über die Feed Management API abrufen.

IAM-Nutzer mit erforderlichen Berechtigungen erstellen

Option A: Verwaltete AWS-Richtlinie verwenden (empfohlen)

Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
Wählen Sie den erstellten Nutzer aus.
Wählen Sie den Tab Sicherheitsanmeldedaten aus.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach IAMReadOnlyAccess (von AWS verwaltete Richtlinie).
Wählen Sie die Richtlinie aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.

Wichtig:Die Richtlinie IAMReadOnlyAccess enthält alle erforderlichen Berechtigungen:

iam:GetUser
iam:ListUsers
iam:GetGroup
iam:ListGroups
iam:GetPolicy
iam:ListPolicies
iam:GetRole
iam:ListRoles
iam:ListAttachedUserPolicies
iam:ListAttachedGroupPolicies
iam:ListAttachedRolePolicies
iam:GetAccountSummary

Option B: Benutzerdefinierte Richtlinie erstellen (geringste Berechtigung)

Wenn für Ihre Sicherheitsrichtlinie anstelle der verwalteten Richtlinie minimale Berechtigungen erforderlich sind:

Rufen Sie in der AWS-Konsole IAM > Richtlinien > Richtlinie erstellen > Tab „JSON“ auf.

Fügen Sie die folgende Richtlinie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:GetGroup",
        "iam:ListGroups",
        "iam:GetPolicy",
        "iam:ListPolicies",
        "iam:GetRole",
        "iam:ListRoles",
        "iam:ListAttachedUserPolicies",
        "iam:ListAttachedGroupPolicies",
        "iam:ListAttachedRolePolicies",
        "iam:GetAccountSummary"
      ],
      "Resource": "*"
    }
  ]
}

Klicken Sie auf Weiter.
Nennen Sie die Richtlinie chronicle-iam-api-read-policy.
Klicken Sie auf Richtlinie erstellen.
Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
Wählen Sie den erstellten Nutzer aus.
Wählen Sie den Tab Sicherheitsanmeldedaten aus.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach chronicle-iam-api-read-policy und wählen Sie den Eintrag aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.

Feed in Google SecOps konfigurieren, um IAM-Konfigurationsdaten aufzunehmen

Content-Hub verwenden (empfohlen)

Rufen Sie Content Hub > Content-Pakete > Erste Schritte auf.
Klicken Sie auf das Paket Amazon Cloud Platform.
Suchen Sie nach dem Logtyp AWS IAM.
Wählen Sie im Drop-down-Menü Quelltyp die Option Drittanbieter-API aus.
Geben Sie die folgenden Konfigurationsdetails an:
- Nutzername: Die Access Key ID des zuvor erstellten IAM-Nutzers.
- Secret (Geheim): Der geheime Zugriffsschlüssel des zuvor erstellten IAM-Nutzers.
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert (z. B. AWS IAM API Configuration).
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

SIEM-Einstellungen verwenden

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS IAM API Configuration.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie AWS IAM als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Die Access Key ID des zuvor erstellten IAM-Nutzers.
- Secret (Geheim): Der geheime Zugriffsschlüssel des zuvor erstellten IAM-Nutzers.
- Region: Die AWS-Region, z. B. us-east-1.
Hinweis :AWS IAM ist ein globaler Dienst, aber Sie müssen eine Region für das API-Endpunkt-Routing angeben.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Arn`	`entity.entity.resource.name`	Direkt aus dem Feld „ARN“ zugeordnet. Wird auf verschiedene Entitätstypen angewendet. Für den Entitätstyp „GROUP“, der von „Group.Arn“ zugeordnet wird.
`AssumeRolePolicyDocument`	`entity.entity.resource.attribute.permissions.name`	Direkt aus dem Feld „AssumeRolePolicyDocument“ zugeordnet, aber nur für den Entitätstyp „RESOURCE“.
`CreateDate`	`entity.entity.user.attribute.creation_time`	Direkt aus dem Feld „CreateDate“ zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`CreateDate`	`entity.entity.resource.attribute.creation_time`	Direkt aus dem Feld „CreateDate“ zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`Group.Arn`	`entity.entity.resource.name`	Direkt aus dem Feld „Group.Arn“ zugeordnet.
`Group.CreateDate`	`entity.entity.group.attribute.creation_time`	Direkt aus dem Feld „Group.CreateDate“ zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`Group.GroupID`	`entity.entity.group.product_object_id`	Direkt aus dem Feld „Group.GroupID“ zugeordnet.
`Group.GroupName`	`entity.entity.group.group_display_name`	Direkt aus dem Feld „Group.GroupName“ zugeordnet.
`Group.GroupName`	`entity.entity.group.email_addresses`	Direkt aus dem Feld „Group.GroupName“ zugeordnet.
`Group.Path`	`entity.entity.group.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Group.Path“ zugeordnet und ist fest auf „path“ codiert.
`IsTruncated`	`entity.entity.group.attribute.labels.value`	Direkt aus dem Feld „IsTruncated“ abgeleitet, das in einen String konvertiert wurde. Der Schlüssel ist fest auf „is_truncated“ codiert.
`Marker`	`entity.entity.group.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Marker“ zugeordnet und ist fest auf „marker“ codiert.
`PasswordLastUsed`	`entity.entity.user.last_login_time`	Direkt aus dem Feld „PasswordLastUsed“ zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`Path`	`entity.entity.user.attribute.labels.value`	Direkt aus dem Feld „Path“ für den Entitätstyp „USER“ zugeordnet. Der Schlüssel ist fest auf „path“ codiert.
`Path`	`entity.entity.resource.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Pfad“ für den Entitätstyp „RESOURCE“ zugeordnet und ist fest auf „path“ codiert.
`PermissionsBoundary.PermissionsBoundaryArn`	`entity.entity.resource.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „PermissionsBoundary.PermissionsBoundaryArn“ zugeordnet und ist fest in „permissions_boundary_arn“ codiert.
`PermissionsBoundary.PermissionsBoundaryType`	`entity.entity.resource.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld PermissionsBoundary.PermissionsBoundaryType zugeordnet und ist fest in permissions_boundary_type codiert.
`RoleID`	`entity.entity.resource.product_object_id`	Direkt aus dem Feld „RoleID“ zugeordnet.
`RoleLastUsed.LastUsedDate`	`entity.entity.resource.attribute.labels.value`	Direkt aus dem Feld „RoleLastUsed.LastUsedDate“ zugeordnet. Der Schlüssel ist fest in „role_last_used_date“ codiert.
`RoleLastUsed.Region`	`entity.entity.location.name`	Direkt aus dem Feld „RoleLastUsed.Region“ zugeordnet.
`RoleName`	`entity.entity.resource.attribute.roles.name`	Direkt aus dem Feld „RoleName“ zugeordnet.
`Tags.Key`	`entity.entity.user.attribute.labels.key`	Wird als Schlüssel für die Labels in der Nutzerentität verwendet.
`Tags.Value`	`entity.entity.user.attribute.labels.value`	Wird als Wert für die Labels in der Nutzerentität verwendet.
`UserID`	`entity.entity.user.product_object_id`	Direkt aus dem Feld „UserID“ zugeordnet.
`UserName`	`entity.entity.user.userid`	Direkt aus dem Feld „UserName“ zugeordnet.
`Users.Arn`	`relations.entity.resource.name`	Direkt aus dem Feld „Users.Arn“ in der Nutzerbeziehung zugeordnet.
`Users.CreateDate`	`relations.entity.user.attribute.creation_time`	Direkt aus dem Feld „Users.CreateDate“ in der Nutzerbeziehung zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`Users.PasswordLastUsed`	`relations.entity.user.last_login_time`	Direkt aus dem Feld „Users.PasswordLastUsed“ in der Nutzerbeziehung zugeordnet und in das Zeitstempelformat von Chronicle konvertiert.
`Users.Path`	`relations.entity.user.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Users.Path“ in der Nutzerbeziehung zugeordnet und ist fest auf „path“ codiert.
`Users.PermissionsBoundary.PermissionsBoundaryArn`	`relations.entity.resource.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Users.PermissionsBoundary.PermissionsBoundaryArn“ in der Nutzerbeziehung zugeordnet und ist fest in „permissions_boundary_arn“ codiert.
`Users.PermissionsBoundary.PermissionsBoundaryType`	`relations.entity.resource.attribute.labels.value`	Der Schlüssel wird direkt aus dem Feld „Users.PermissionsBoundary.PermissionsBoundaryType“ in der Nutzerbeziehung zugeordnet und ist fest in „permissions_boundary_type“ codiert.
`Users.UserID`	`relations.entity.user.product_object_id`	Direkt aus dem Feld „Users.UserID“ in der Nutzerbeziehung abgeleitet.
`Users.UserName`	`relations.entity.user.userid`	Direkt aus dem Feld „Users.UserName“ in der Nutzerbeziehung abgeleitet.
–	`entity.metadata.collected_timestamp`	Wird mit dem Zeitstempel für die Erfassung des Ereignisses ausgefüllt.
–	`entity.metadata.vendor_name`	Fest codiert für AWS.
–	`entity.metadata.product_name`	Fest codiert für AWS IAM.
–	`entity.metadata.entity_type`	Wird anhand des Vorhandenseins bestimmter Felder bestimmt: USER, wenn UserID vorhanden ist, RESOURCE, wenn RoleID vorhanden ist, GROUP, wenn Group.GroupName vorhanden ist.
–	`entity.entity.resource.resource_subtype`	Auf „User“ für die Entitätstypen USER und „Role“ für RESOURCE festlegen.
–	`entity.entity.resource.resource_type`	Auf ACCESS_POLICY für den Ressourcentyp RESOURCE festgelegt.
–	`entity.entity.resource.attribute.cloud.environment`	Fest codiert auf AMAZON_WEB_SERVICES.
–	`relations.entity_type`	Für Nutzerbeziehungen fest auf USER codiert.
–	`relations.relationship`	Für Beziehungen zwischen Nutzergruppen ist MEMBER fest codiert.
–	`relations.direction`	Hartcodiert auf UNIDIRECTIONAL.
–	`relations.entity.resource.resource_subtype`	Fest codiert auf „User“ für Nutzerbeziehungen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten