收集 AWS GuardDuty 記錄

本文說明如何設定 Google Security Operations 動態饋給，收集 AWS GuardDuty 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 GUARDDUTY 攝入標籤的剖析器。

事前準備

• 請確認已建立 AWS S3 值區。如要建立 AWS S3 值區，請參閱「建立第一個 S3 值區」一文。
• 請確認已建立 KMS 金鑰。如要建立 KMS 金鑰，請參閱「建立非對稱 KMS 金鑰」。
• 請確認 AWS GuardDuty 具備存取 KMS 金鑰的權限。如要授予 KMS 金鑰存取權，請參閱「匯出檢測結果」。GuardDuty 會使用 AWS KMS 金鑰加密值區中的發現資料。

設定 AWS GuardDuty

如要設定 AWS GuardDuty，請執行下列操作：

1. 登入 AWS 主控台。
2. 搜尋「GuardDuty」。
3. 選取 [設定]。

4. 在「Finding export option」(尋找匯出選項) 部分執行下列操作：

   1. 在「更新發現項目的頻率」清單中，選取「每 15 分鐘更新 CWE 和 S3」。頻率選項適用於更新後的發現項目。新發現項目會在建立後 5 分鐘後匯出。
   2. 在「S3 值區」部分，選取要匯出 GuardDuty 結果的 S3 值區。
   3. 在「記錄檔案前置字串」部分中，提供記錄檔案前置字串。
   4. 在「KMS 加密」部分中，選取 KMS 加密。
   5. 從「Key alias」清單中選取金鑰。
   6. 按一下 [儲存]。

5. 記錄檔儲存在 S3 值區後，請建立 SQS 佇列並附加至 S3 值區。

KMS 政策範例

以下是 KMS 政策範例：

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

更改下列內容：

• AWS_REGION：所選區域。
• KEY_ARN：KMS 金鑰的 Amazon Resource Name (ARN)。

檢查 S3、SQS 和 KMS 的必要 IAM 使用者和 KMS 金鑰政策。

根據服務和地區，參閱下列 AWS 說明文件，找出連線端點：

• 如要瞭解任何記錄來源，請參閱「AWS Identity and Access Management 端點和配額」。
• 如要瞭解 S3 記錄來源，請參閱「Amazon Simple Storage Service 端點和配額」。
• 如要瞭解 SQS 記錄來源，請參閱「Amazon Simple Queue Service 端點和配額」。

在 Google Security Operations 中設定動態饋給，以便擷取 AWS GuardDuty 記錄

1. 依序選取「SIEM 設定」>「動態消息」。
2. 按一下「新增」。
3. 輸入動態饋給名稱的專屬名稱。
4. 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」。
5. 選取「AWS GuardDuty」做為「記錄類型」。
6. 依序點選「下一步」和「提交」。
7. Google 安全作業支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰，請參閱「使用 AWS 設定工具驗證」。

8. 根據您建立的 AWS GuardDuty 設定，指定下列欄位的值。

   1. 如果使用 Amazon S3
   • 區域
   • S3 URI
   • URI 是
   • 來源刪除選項
   2. 如果使用 Amazon SQS
   • 區域
   • 佇列名稱
   • 帳號
   • 佇列存取金鑰 ID
   • 排隊存取密鑰
   • 來源刪除選項

9. 依序點選「下一步」和「提交」。

如要進一步瞭解 Google Security Operations 動態饋給，請參閱 Google Security Operations 動態饋給說明文件。如要瞭解各個動態饋給類型的規定，請參閱「依類型分類的動態饋給設定」。如果在建立動態饋給時遇到問題，請與 Google 安全作業支援團隊聯絡

欄位對應參考資料

這個剖析器程式碼會以 JSON 格式處理 AWS GuardDuty 發現事項，擷取相關欄位並對應至統一資料模型 (UDM)。它會執行資料轉換作業，包括字串取代、合併陣列和轉換資料類型，以便建立安全事件的結構化表示法，以利分析和比對。

UDM 對應表

異動

2024-03-11

• 將「service.action.awsApiCallAction.domainDetails.domain」對應至「network.dns.questions.name」。

2024-03-05

• 將「service.additionalInfo.value」對應至「security_result.about.labels」。
• 將「service.additionalInfo.value」對應至「security_result.about.resource.attribute.labels」。
• 將「service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail」對應至「principal.resource.attribute.labels」。

2024-02-26

• 修正錯誤：
• 將「resource.eksClusterDetails.createdAt」對應至「target.resource.attribute.labels」。
• 將「resource.s3BucketDetails.createdAt」對應至「principal.resource.attribute.labels」。
• 將「resource.eksClusterDetails.tags」對應至「target.resource.attribute.labels」。
• 將「resource.s3BucketDetails.tags」對應至「principal.resource.attribute.labels」。
• 如果「type」類似於「:Kubernetes」或「:S3」，則會將「resource.accessKeyDetails.accessKeyId」對應至「target.resource.product_object_id」。
• 如果「service.action.actionType」類似「AWS_API_CALL」或「KUBERNETES_API_CALL」，請將「resource.accessKeyDetails.accessKeyId」對應至「target.resource.product_object_id」。
• 如果「service.action.actionType」與「DNS_REQUEST」相似，請將「resource.instanceDetails.instanceId」對應至「target.resource.product_object_id」。

2023-08-18

• 已對應的欄位為「security_result.attack_details.tactics」、「security_result.attack_details.techniques」，根據欄位「type」
• 盡可能將「metadata.event_type」對應至更具體的 event_type，而非 GENERIC_EVENT。
• 已對應的欄位為「target.resource.resource_subtype」、「target.resource.resource_type」，這些欄位是根據「type」欄位建立。
• 針對所有「type」值為「:EC2」的記錄檔：
• 將「resource.instanceDetails.instanceId」對應至「target.resource.product_object_id」。
• 將「resource.instanceDetails.instanceType」對應至「target.resource.attribute.labels」。
• 將「resource.instanceDetails.launchTime」對應至「target.resource.attribute.creation_time」。
• 針對所有「type」值為「:RDSV」的記錄檔：
• 將「resource.rdsDbInstanceDetails.dbInstanceIdentifier」對應至「target.resource.product_object_id」。
• 將「resource.rdsDbInstanceDetails.dbInstanceArn」對應至「target.resource.name」。
• 將「resource.rdsDbInstanceDetails.dbClusterIdentifier」對應至「target.resource_ancestors.product_object_id」。
• 將「resource.rdsDbUserDetails.user」對應至「principal.user.userid」。
• 針對所有「type」值為「:Kubernetes」的記錄：
• 將「resource.eksClusterDetails.arn」對應至「target.resource.name」。
• 針對所有「type」值為「:Runtime」的記錄：
• 將「resource.eksClusterDetails.arn」對應至「target.resource_ancestors.name」。
• 將「resource.instanceDetails.instanceId」對應至「target.resource.product_object_id」。
• 將「resource.instanceDetails.instanceType」對應至「target.resource.attribute.labels」。
• 將「resource.instanceDetails.launchTime」對應至「target.resource.attribute.creation_time」。
• 針對所有「type」值為「:IAMUser」的記錄：
• 將「resource.accessKeyDetails.accessKeyId」對應至「target.resource.product_object_id」。
• 將「resource.instanceDetails.instanceId」對應至「target.resource_ancestors.product_object_id」。
• 針對所有「type」值為「:S3」的記錄：
• 將「resource.s3BucketDetails.arn」或「resource.s3BucketDetails.name」對應至「target.resource.name」。

2023-08-02

• 如果 'resource.instanceDetails.networkInterfaces' 為空白，則將 'metadata.event_type' 對應至 'GENERIC_EVENT'。
• 如果 'detail.resource.accessKeyDetails.principalId' 或 'resource.accessKeyDetails.principalId' 為空白，則將 'metadata.event_type' 對應至 'USER_RESOURCE_ACCESS'。

2023-06-19

• 根據「type」新增「security_result.attack_details」。

2023-02-07

• 改善項目：
• 將「threatdetails.threatListName」對應至「security_result.threat_feed_name」。
• 將「service.additionalInfo.threatName」對應至「security_result.threat_name」。
• 如果「product_event_type」在 [「Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"] 中，則會將「T1071」對應至「technique_label.value」。
• 如果「product_event_type」在 [「PenTest:IAMUser/KaliLinux」,「PenTest:IAMUser/ParrotLinux」,「PenTest:IAMUser/PentooLinux」,「PenTest:S3/KaliLinux」,「PenTest:S3/ParrotLinux」,「PenTest:S3/PentooLinux」,「Policy:IAMUser/RootCredentialUsage」,「UnauthorizedAccess:EC2/MaliciousIPCaller.Custom」,「UnauthorizedAccess:EC2/TorClient」] 中，則會將「T1078」對應至「technique_label.value」。
• 如果「product_event_type」是「Discovery:IAMUser/AnomalousBehavior」，則會將「T1087」對應至「technique_label.value」。
• 如果「product_event_type」是「Persistence:IAMUser/AnomalousBehavior」，則將「T1098」對應至「technique_label.value」。
• 如果 [「UnauthorizedAccess:EC2/RDPBruteForce」、「UnauthorizedAccess:EC2/SSHBruteForce」] 中的「product_event_type」已對應至「T1110」，則會對應至「technique_label.value」。
• 如果「product_event_type」在 ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"] 中，則會將「T1133」對應至「technique_label.value」。
• 如果「product_event_type」是「Trojan:EC2/DriveBySourceTraffic!DNS」，則會將「T1189」對應至「technique_label.value」。
• 如果「product_event_type」是「PrivilegeEscalation:IAMUser/AnomalousBehavior」，則將「T1484」對應至「technique_label.value」。
• 如果「product_event_type」在以下任一項目中：「Backdoor:EC2/Spambot」、「CryptoCurrency:EC2/BitcoinTool.B」、「CryptoCurrency:EC2/BitcoinTool.B!DNS」、「Impact:EC2/AbusedDomainRequest.Reputation」、「Impact:EC2/BitcoinDomainRequest.Reputation」、「Impact:EC2/MaliciousDomainRequest.Reputation」、「Impact:EC2/PortSweep」、「Impact:EC2/SuspiciousDomainRequest.Reputation」、「Impact:EC2/WinRMBruteForce」、「UnauthorizedAccess:EC2/TorRelay」，則會將「T1496」對應至「technique_label.value」。
• 如果「product_event_type」在 [「Backdoor:EC2/DenialOfService.Dns」、「Backdoor:EC2/DenialOfService.Tcp」、「Backdoor:EC2/DenialOfService.Udp」、「Backdoor:EC2/DenialOfService.UdpOnTcpPorts」、「Backdoor:EC2/DenialOfService.UnusualProtocol」] 中，則會將「T1498」對應至「technique_label.value」。
• 如果 ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"] 中的「product_event_type」已對應至「technique_label.value」，
• 如果「product_event_type」是「UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B」，則會將「T1538」對應至「technique_label.value」。
• 如果「product_event_type」是「UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration」，則將「T1552」對應至「technique_label.value」。
• 如果「product_event_type」是「CredentialAccess:IAMUser/AnomalousBehavior」，則會將「T1555」對應至「technique_label.value」。
• 如果 ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"] 中的「product_event_type」對應至「technique_label.value」，
• 如果 [「Impact:IAMUser/AnomalousBehavior」,「Impact:S3/MaliciousIPCaller」] 中的「product_event_type」已對應至「T1565」，則會將「technique_label.value」對應至「T1565」。
• 如果「product_event_type」是「Trojan:EC2/PhishingDomainRequest!DNS」，則會將「T1566」對應至「technique_label.value」。
• 如果「product_event_type」在 [「Exfiltration:IAMUser/AnomalousBehavior」、「Exfiltration:S3/MaliciousIPCaller」、「Exfiltration:S3/ObjectRead.Unusual」、「Trojan:EC2/DNSDataExfiltration」、「Trojan:EC2/DropPoint」、「Trojan:EC2/DropPoint!DNS」] 中，則會將「T1567」對應至「technique_label.value」。
• 如果 [「Trojan:EC2/DGADomainRequest.C!DNS」、「Trojan:EC2/DGADomainRequest.B」] 中的「product_event_type」已對應至「T1568」，則會對應至「technique_label.value」。
• 如果「product_event_type」==「UnauthorizedAccess:EC2/MetadataDNSRebind」，則將「T1580」對應至「technique_label」。
• 如果「product_event_type」在 [「Recon:IAMUser/MaliciousIPCaller」、「Recon:IAMUser/MaliciousIPCaller.Custom」、「Recon:IAMUser/TorIPCaller」] 中，則會將「T1589」對應至「technique_label.value」。
• 如果 [「Recon:EC2/PortProbeEMRUnprotectedPort」、「Recon:EC2/PortProbeUnprotectedPort」、「Recon:EC2/Portscan」] 中的「product_event_type」已對應至「technique_label.value」，則會將「T1595」對應至「technique_label.value」。
• 如果 [technique_label][value] 在 ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"] 中，則將「Reconnaissance」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] 中，則會將「ResourceDevelopment」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] 中，則將「InitialAccess」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"] 中，則將「Execution」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] 中，則將「Persistence」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] 中，則會將「PrivilegeEscalation」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] 中，則將「DefenseEvasion」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] 中，則將「CredentialAccess」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] 中，則將「Discovery」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"] 中，則將「LateralMovement」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] 中，則將「Collection」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] 中，則會將「CommandAndControl」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"] 中，則將「Exfiltration」對應至「tatic_label.value」。
• 如果 [technique_label][value] 在 ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] 中，則會將「Impact」對應至「tatic_label.value」。

2022-11-10

• 強化
• 將「service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash」對應至「principal.file.sha256」。
• 將「service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath」對應至「principal.file.full_path」。
• 將「service.action.dnsRequestAction.domain」對應至「network.dns.questions.name」。
• 將「resource.kubernetesDetails.kubernetesUserDetails.username」對應至「principal.user.userid」。

2022-09-12

• 功能要求：
• 針對記錄類型 (「IAM」、「S3」、「KUBERNETES」、「MALWARE」、「EC2」) 適當地對應「security_result.category」、「metadata.event_type」、「resource_type」、「resource_subtype」。

2022-08-11

• 功能要求：
• 將「GENERIC_EVENT」類型替換為「STATUS_UPDATE」或「USER_RESOURCE_ACCESS」event_type。

2022-07-20

• 將「service.resourceRole」的對應項目從「additional.resource_role」變更為「principal.resource.attribute.roles.name」。
• 將「service.count」的對應項目從「additional.fields」變更為「principal.resource.attribute.label」
• 已將「resource.instanceDetails.imageDescription」的對應項目從「additional.fields」變更為「principal.resource.attribute.label」
• 如果「Discovery:S3/MaliciousIPCaller」、「Policy:S3/BucketPublicAccessGranted」、「UnauthorizedAccess:S3/TorIPCaller」、「Policy:S3/BucketAnonymousAccessGranted」、「UnauthorizedAccess:EC2/TorRelay」中的「type」值為：
• 將「resource.instanceDetails.instanceId」對應至「target.resource.product_object_id」
• 將「resource.instanceDetails.instanceType」對應至「target.resource.name」

2022-07-08

• 已將「network_interface.securityGroups.0.groupId」的對應項目從「target.user.groupid」修改為「target.user.group_identifiers」。

2022-05-26

• 改善功能：修改下列欄位的對應關係
• 將「region」欄位的對應項目從「target.location.country_or_region」變更為「target.location.name」
• 將欄位「resource.instanceDetails.tags[n]」的對應項目從「additional.fields[n]」變更為「target.asset.attribute.labels[n]」
• 「service.action.networkConnectionAction.remoteIpDetails.country.countryName」對應至「target.location.country_or_region」

2022-05-27

• 改善項目：將 metadata.product_name 中儲存的值修改為「AWS GuardDuty」，並將 metadata.vendor_name 修改為「AMAZON」。

2022-03-25

• 改善項目：Port udm 不是重複欄位。因此不建議從記錄中擷取大量的連接埠。這項異動會改用 about.port。

2022-03-31

• 強化
• 如果 service.action.networkConnectionAction.localPortDetails.portName 不是與 principal.application 對應的「不明」值。
• 「tags」欄位中整個清單會對應至鍵/值欄位。
• 「service.action.networkConnectionAction.protocol」對應至 network.ip_protocol
• 「service.action.networkConnectionAction.blocked」對應至 security_result.action
• 「severity」對應至 security_result.severity_details
• 如果 service.action.actionType 為 AWS_API_CALL，則「accessKeyId」會對應至 target.resource.id。
• 在 s3BucketDetails 中：
• 「arn」會對應至 target.asset.attribute.cloud.project.product_object_id。
• 「name」會對應至 target.resource.name。
• 「encryptionType」會對應至 network.tls.supported_ciphers。
• 「owner.id 對應至 target.resource.attribute.labels。
• 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList 下方：
• 將「allowsPublicReadAccess」對應至 additional.fields 屬性。
• 將「allowsPublicWriteAccess」對應至 additional.fields 屬性。- --
• 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy 下方：
• 將「allowsPublicReadAccess」對應至 additional.fields 屬性。
• 將「allowsPublicWriteAccess」對應至 additional.fields 屬性。- --
• 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess 下方：
• 將「ignorePublicAcls」對應至 additional.fields 屬性。
• 將「restrictPublicBuckets」對應至 additional.fields 屬性。
• 將「blockPublicAcls」對應至 additional.fields 屬性。
• 將「blockPublicPolicy」對應至 additional.fields 屬性。- --
• 在 resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• 將 ignorePublicAcls 對應至 additional.fields 屬性。
• 將「restrictPublicBuckets」設為 additional.fields 屬性。
• 將「blockPublicAcls」新增至 additional.fields 屬性。
• 將「blockPublicPolicy」新增至 additional.fields 屬性。
• 在 service.action.awsApiCallAction.remoteIpDetails.organization 下：
• 「asn」已對應至 additional.fields 屬性。
• 「asnOrg」已對應至 additional.fields 屬性。
• 「isp」已對應至 additional.fields 屬性。
• 「org」已對應至 additional.fields 屬性。
• 在 service.action.awsApiCallAction.affectedResources 下方，對應「AWS::S3::Bucket」additional.fields 屬性。
• 如果 service.action.actionType 為 DNS_REQUEST，則「accessKeyId」會對應至 target.resource.id。
• resource.instanceDetails.instanceId 對應至 target.resource.id
• resource.instanceDetails.instanceType 對應至 target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId 已對應至 target.asset.attribute.cloud.vpc.id
• resource.instanceDetails.tags 下的值會對應至下列欄位：
• 如果鍵為「ApplicationOwner」，則為 target.user.userid。
• 如果索引鍵為「Application」，則為 target.application。
• 如果鍵值為「Contact」，則為 user.email_addresses。
• 如果索引鍵為「Name」、「DAM_Project」、「Project」或「ehc:C3Schedule」，請使用 additional.fields。
• service.action.dnsRequestAction.protocol 對應的 network.ip_protocol，如果值不是 0。
• service.action.networkConnectionAction.blocked 已對應至 security_result.action。
• 「severity」對應至 security_result.severity_details。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。