結果タイプは検出できるんですよね。JSONの階層の浅いところにあるから。問題は攻撃者のIP。ipAddressV4キーの値が取れない。
階層が深いというか、キーが配列に入っているので、インサイトのQueryでは対応してないんです。[0]が効かないので、拾えない。
ログのインサイトのクエリーでは全ての攻撃パターンのIPが拾えません。parse使ってもダメ。
Athena使うか、lambda関数で抽出するしかないでしょう。
私のところではDataDog使っているのでGaurdDutyの検出結果は使わない方針になりました。
南無三。
コメント