Diese Seite wurde von der Cloud Translation API übersetzt.

Security Command Center-Ergebnisse erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Security Command Center-Logs erfassen können, indem Sie Security Command Center konfigurieren und Ergebnisse in Google Security Operations aufnehmen. In diesem Dokument sind auch die unterstützten Ereignisse aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations und Security Command Center-Ergebnisse in Google Security Operations exportieren. Eine typische Bereitstellung besteht aus Security Command Center und dem Google Security Operations-Feed, der so konfiguriert ist, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann unterschiedlich und komplexer sein.

Die Bereitstellung enthält die folgenden Komponenten:

Google Cloud: Das zu überwachende System, in dem Security Command Center installiert ist.
Security Command Center Event Threat Detection-Ergebnisse: Erfasst Informationen aus der Datenquelle und generiert Ergebnisse.
Google Security Operations: Hier werden die Logs aus Security Command Center aufbewahrt und analysiert.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Security Command Center-Parser mit den folgenden Erfassungs-Labels:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Security Command Center und Google Cloud konfigurieren, um Ergebnisse an Google Security Operations zu senden

Aktivieren Sie Security Command Center.
Achten Sie darauf, dass alle Systeme in der Bereitstellung in der UTC-Zeitzone konfiguriert sind.
Aktivieren Sie die Aufnahme von Security Command Center-Ergebnissen.

Unterstützte Event Threat Detection-Ergebnisse

In diesem Abschnitt werden die unterstützten Event Threat Detection-Ergebnisse aufgeführt. Informationen zu den Regeln und Ergebnissen von Event Threat Detection in Security Command Center finden Sie unter Event Threat Detection-Regeln.

Name des Ergebnisses	Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE	Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden.
Brute Force: SSH	Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt	Erkennt, wenn ein externes Mitglied einer privilegierten Google-Gruppe hinzugefügt wird (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht	Erkennt, wenn eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt	Erkennt, wenn vertrauliche Rollen einer Google-Gruppe mit externen Mitgliedern zugewiesen werden. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Defense Evasion: VPC Service Control modifizieren	Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, die zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.
Discovery: Kann vertrauliche Kubernetes-Objektprüfung abrufenVorschau	Ein böswilliger Akteur hat mithilfe des Befehls „kubectl auth can-i get“ versucht herauszufinden, welche sensiblen Objekte in Google Kubernetes Engine (GKE) abgefragt werden können.
Erkennung: Dienstkonto-Prüfung	Erkennung von Anmeldedaten eines IAM-Dienstkontos (Identity and Access Management), die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind.
E-Mail: Zugriff vom Anonymisierungs-Proxy	Erkennung von Änderungen am Google Cloud -Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration	Erkennt folgende Szenarien: Ressourcen, die der geschützten Organisation gehören und außerhalb der Organisation gespeichert sind, einschließlich Kopier- oder Übertragungsvorgängen. Versuche, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Control geschützt sind.
Exfiltration: BigQuery-Datenextraktion	Erkennt folgende Szenarien: Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert. Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wird durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.
Exfiltration: BigQuery-Daten in Google Drive	Erkennt folgende Szenarien: Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert.
Exfiltration: Cloud SQL-Daten-Exfiltration	Erkennt folgende Szenarien: Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation	Erkennt, wenn die Sicherung einer Cloud SQL-Instanz auf einer Instanz außerhalb der Organisation wiederhergestellt wird.
Exfiltration: Cloud SQL Überprivilegierte SQL-Berechtigung	Erkennt, wenn einem Cloud SQL Postgres-Nutzer oder einer Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert	Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert	Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.
Erstzugriff: Konto deaktiviert – Gehackt	Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.
Erstzugriff: Deaktiviert – Passwortleck	Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff	Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.
Anfangszugriff: Log4j-Kompromittierungsversuch	Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.
Erstzugriff: Verdächtige Anmeldung blockiert	Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.
Log4j-Malware: Ungültige Domain	Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse	Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain	Erkennung von Malware auf der Grundlage einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain.
Malware: Schädliche IP	Erkennung von Malware auf der Grundlage einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Malware: Ungültige Domain für Kryptomining	Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Kryptomining-Domain.
Malware: Schädliche Kryptomining-IP-Adresse	Erkennung von Kryptowährungs-Mining anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoS	Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt	Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Compute Engine-Administrator hat Startskript hinzugefügt	Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung	Erkennung von Berechtigungen, die IAM-Nutzern und -Dienstkonten gewährt wurden, die nicht Mitglieder der Organisation sind. Dieser Detektor verwendet die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn ein externes Mitglied eine vertrauliche IAM-Gewährung erhält und weniger als drei vorhandene IAM-Richtlinien ihr ähneln, generiert dieser Detektor ein Ergebnis.
Persistenz: Neue API-MethodeVorschau	Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region	Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.
Persistenz: Neuer User-Agent	Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen.
Persistenz: Umschalter für SSO-Aktivierung	Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.
Persistenz: SSO-Einstellungen geändert	Die SSO-Einstellungen für das Administratorkonto wurden geändert.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten (Vorschau)	Zur Rechteausweitung hat ein böswilliger Akteur mithilfe einer PUT- oder PATCH-Anfrage versucht, die Objekte „ClusterRole“ und „ClusterRoleBinding“ der Rolle cluster-admin zu ändern.
Rechteausweitung: Kubernetes-CSR für Masterzertifikat erstellenVorschau	Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm die Zugriffsrechte der Rolle „cluster-admin“ gewährt.
Rechteausweitung: Erstellung vertraulicher Kubernetes-BindungenVorschau	Ein böswilliger Akteur hat versucht, neue RoleBinding- oder ClusterRoleBinding-Objekte vom Typ „cluster-admin“ zu erstellen, um seine Berechtigung auszuweiten.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten (Vorschau)	Ein böswilliger Akteur hat mithilfe des kubectl-Befehls und gehackter Bootstrap-Anmeldedaten eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) gesendet.
Rechteausweitung: Start eines privilegierten Kubernetes-ContainersVorschau	Ein böswilliger Akteur hat Pods erstellt, die privilegierte Container oder Container mit Funktionen zur Rechteausweitung enthalten. Bei einem privilegierten Container ist das Feld „privileged“ auf „true“ gesetzt. Bei einem Container mit der Fähigkeit zur Rechteausweitung ist das Feld „allowPrivilegeEscalation“ auf „true“ gesetzt.
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt	Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt wird. Ein Dienstkonto gilt in diesem Zusammenhang als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Prozessbaum	Der Detector prüft den Prozessbaum aller laufenden Prozesse. Wenn ein Prozess ein Shell-Binärprogramm ist, prüft der Detektor den übergeordneten Prozess. Wenn der übergeordnete Prozess eine Binärdatei ist, die keinen Shellprozess erzeugen sollte, löst der Detektor ein Ergebnis aus.
Unerwartete untergeordnete Shell	Der Detector prüft den Prozessbaum aller laufenden Prozesse. Wenn ein Prozess ein Shell-Binärprogramm ist, prüft der Detektor den übergeordneten Prozess. Wenn der übergeordnete Prozess eine Binärdatei ist, die keinen Shellprozess erzeugen sollte, löst der Detektor ein Ergebnis aus.
Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt	Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war und anhand von Threat Intelligence als schädlich identifiziert wurde.
Ausführung: Geändertes schädliches Binärprogramm ausgeführt	Der Detektor sucht nach einer Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und anhand von Bedrohungsdaten als schädlich identifiziert wurde.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten	Erkennt, wenn eine anomale mehrstufige delegierte Anfrage für eine Administratoraktivität gefunden wird.
Break-Glass-Konto verwendet: break_glass_account	Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Konfigurierbare fehlerhafte Domain: APT29_Domains	Erkennt eine Verbindung zu einem angegebenen Domainnamen
Unerwartete Rollenzuweisung: Unzulässige Rollen	Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Konfigurierbare fehlerhafte IP-Adresse	Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Unerwarteter Compute Engine-Instanztyp	Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Unerwartetes Compute Engine-Quell-Image	Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Unerwartete Compute Engine-Region	Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung	Erkennt, wenn einem Hauptkonto eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen gewährt wird.
Unerwarteter Cloud API-Aufruf	Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.

Unterstützte GCP_SECURITYCENTER_ERROR-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Field mapping reference: ERROR (Referenz zur Feldzuordnung: FEHLER).

Name des Ergebnisses	Beschreibung
VPC_SC_RESTRICTION	Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Das Projekt, das für den kontinuierlichen Export nach Cloud Logging konfiguriert ist, ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.
API_DISABLED	Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.
KTD_IMAGE_PULL_FAILURE	Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Image-Host in Container Registry, abgerufen (heruntergeladen) werden kann. Das Image ist erforderlich, um das DaemonSet für Container Threat Detection bereitzustellen, das für Container Threat Detection erforderlich ist.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection kann nicht auf einem Kubernetes-Cluster aktiviert werden. Ein Drittanbieter-Zulassungs-Controller verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das für Container Threat Detection erforderlich ist. Wenn die Ergebnisse in der Google Cloud -Konsole aufgerufen werden, enthalten die Ergebnisdetails die Fehlermeldung, die von Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versuchte, ein Container Threat Detection-DaemonSet-Objekt bereitzustellen.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

Unterstützte GCP_SECURITYCENTER_OBSERVATION-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Field mapping reference: OBSERVATION (Referenz zur Feldzuordnung: OBSERVATION).

Name des Ergebnisses	Beschreibung
Persistenz: Projekt-SSH-Schlüssel hinzugefügt	Ein SSH-Schlüssel auf Projektebene wurde in einem Projekt erstellt, das älter als 10 Tage ist.
Persistenz: Sensible Rolle hinzufügen	In einer Organisation, die älter als 10 Tage ist, wurde eine vertrauliche oder sehr privilegierte IAM-Rolle auf Organisationsebene gewährt.

Unterstützte GCP_SECURITYCENTER_UNSPECIFIED-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Field mapping reference: UNSPECIFIED (Referenz zur Feldzuordnung: UNSPECIFIED).

Name des Ergebnisses	Beschreibung
OPEN_FIREWALL	Eine Firewall ist für den öffentlichen Zugriff konfiguriert.

Unterstützte GCP_SECURITYCENTER_VULNERABILITY-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Field mapping reference: VULNERABILITY (Referenz zur Feldzuordnung: SCHWACHSTELLE).

Name des Ergebnisses	Beschreibung
DISK_CSEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor.
ALPHA_CLUSTER_ENABLED	Alphacluster-Features sind für einen GKE-Cluster aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Cluster, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Das Feature für automatische Upgrades eines GKE-Cluster, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
COS_NOT_USED	Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde.
INTEGRITY_MONITORING_DISABLED	Das Integritätsmonitoring ist für einen GKE-Cluster deaktiviert.
IP_ALIAS_DISABLED	Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.
LEGACY_METADATA_ENABLED	Legacy-Metadaten sind für GKE-Cluster aktiviert.
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
DATAPROC_IMAGE_OUTDATED	Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046).
PUBLIC_DATASET	Ein Dataset ist für den öffentlichen Zugriff freigegeben.
DNSSEC_DISABLED	DNSSEC ist für Cloud DNS-Zonen deaktiviert.
RSASHA1_FOR_SIGNING	RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.
REDIS_ROLE_USED_ON_ORG	Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.
KMS_PUBLIC_KEY	Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_EXTERNAL_SCRIPTS_ENABLED	Das Datenbank-Flag „external scripts enabled“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_ERROR_VERBOSITY	Das Datenbank-Flag „log_error_verbosity“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „default“ oder einen strikteren Wert festgelegt.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Das Datenbank-Flag „log_min_duration_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „-1“ gesetzt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.
SQL_LOG_MIN_MESSAGES	Das Datenbank-Flag „log_min_messages“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Warnung“ festgelegt.
SQL_LOG_EXECUTOR_STATS_ENABLED	Das Datenbank-Flag „log_executor_status“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_HOSTNAME_ENABLED	Das Datenbank-Flag „log_hostname“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_PARSER_STATS_ENABLED	Das Datenbank-Flag „log_parser_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_PLANNER_STATS_ENABLED	Das Datenbank-Flag „log_planner_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_STATEMENT_STATS_ENABLED	Das Datenbank-Flag „log_statement_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ gesetzt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_WEAK_ROOT_PASSWORD	In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_LOG_BUCKET	Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich.
ACCESSIBLE_GIT_REPOSITORY	Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
ACCESSIBLE_SVN_REPOSITORY	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.
ACCESSIBLE_ENV_FILE	Eine ENV-Datei ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf die ENV-Datei.
CACHEABLE_PASSWORD_INPUT	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
CLEAR_TEXT_PASSWORD	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Origin-Anfrageheaders, bevor er im Access-Control-Allow-Origin-Antwortheader widergespiegelt wird. Prüfen Sie zur Behebung dieses Problems, ob die erwartete Stammdomain Teil des „Origin“-Headerwerts ist, bevor Sie sie im „Access-Control-Allow-Origin“-Antwortheader angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Origin-Anfrageheaders, bevor er im Access-Control-Allow-Origin-Antwortheader widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Origin-Headerwert übereinstimmt, bevor Sie sie im Access-Control-Allow-Origin-Antwortheader angeben, z. B. .equals("".google.com"").
INVALID_CONTENT_TYPE	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Legen Sie für den HTTP-Header „X-Content-Type-Options“ den richtigen Wert fest, um das Problem zu beheben.
INVALID_HEADER	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MISMATCHING_SECURITY_HEADER_VALUES	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MISSPELLED_SECURITY_HEADER_NAME	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MIXED_CONTENT	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
OUTDATED_LIBRARY	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben.
SERVER_SIDE_REQUEST_FORGERY	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.
SESSION_ID_LEAK	Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Referer-Anfrageheader. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.
SQL_INJECTION	Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.
STRUTS_INSECURE_DESERIALIZATION	Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
XSS	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
XSS_ANGULAR_CALLBACK	Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.
XSS_ERROR	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
XXE_REFLECTED_FILE_LEAKAGE	Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.
BASIC_AUTHENTICATION_ENABLED	IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein.
CLIENT_CERT_AUTHENTICATION_DISABLED	Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden.
LABELS_NOT_USED	Mit Labels können Zahlungsinformationen aufgeschlüsselt werden
PUBLIC_STORAGE_OBJECT	Die Speicherobjekt-ACL sollte nicht allUsers den Zugriff gewähren.
SQL_BROAD_ROOT_LOGIN	Der Root-Zugriff auf eine SQL-Datenbank sollte auf als erlaubt gelistete, vertrauenswürdige IP-Adressen beschränkt werden
WEAK_CREDENTIALS	Dieser Detektor sucht nach schwachen Anmeldedaten mithilfe von Brute-Force-Methoden vom Typ „ncrack“. Unterstützte Dienste: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	Mit der Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
EXPOSED_GRAFANA_ENDPOINT	In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Directory-Traversal-Schwachstelle aufweist. Dadurch kann jeder Nutzer ohne Authentifizierung jede Datei auf dem Server lesen. Weitere Informationen finden Sie unter CVE-2021-43798.
EXPOSED_METABASE	Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Plattform für Datenanalysen, enthalten eine Sicherheitslücke in der Unterstützung für benutzerdefinierte GeoJSON-Karten und potenziellen Einschluss lokaler Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht validiert. Weitere Informationen finden Sie unter CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen. Derzeit wird nur /heapdump geprüft.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Dieser Detektor prüft, ob die Hadoop Yarn ResourceManager API verfügbar gemacht wird, die die Berechnungs- und Speicherressourcen eines Hadoop-Clusters steuert und eine nicht authentifizierte Ausführung von Code zulässt.
JAVA_JMX_RMI_EXPOSED	Die Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Method Invocation-Endpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean-Datei erstellen und damit neue MBeans aus beliebigen URLs erstellen.
JUPYTER_NOTEBOOK_EXPOSED_UI	Dieser Detektor prüft, ob ein nicht authentifiziertes Jupyter-Notebook verfügbar gemacht wird. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer. Ein nicht authentifiziertes Jupyter-Notebook gefährdet die Ausführung der Hosting-VM.
KUBERNETES_API_EXPOSED	Die Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
UNFINISHED_WORDPRESS_INSTALLATION	Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Eine nicht abgeschlossene WordPress-Installation zeigt die Seite /wp-admin/install.php an, über die Angreifer das Administratorpasswort festlegen und möglicherweise das System gefährden können.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Dieser Detektor prüft eine nicht authentifizierte Jenkins-Instanz, indem er einen Ping-Test an den Endpunkt /view/all/newJob als anonymen Besucher sendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular „createItem“, das die Erstellung beliebiger Jobs ermöglicht, die zu einer Remote-Codeausführung führen können.
APACHE_HTTPD_RCE	In Apache HTTP Server 2.4.49 wurde eine Sicherheitslücke gefunden, die es einem Angreifer ermöglicht, mit einem Path-Traversal-Angriff URLs Dateien außerhalb des erwarteten Dokumentstamms zuzuordnen und den Quellcode interpretierter Dateien wie CGI-Scripts einzusehen. Es ist bekannt, dass diese Schwachstelle in der Praxis ausgenutzt wird. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, aber nicht frühere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: CVE-Eintrag CVE-2021-41773 Sicherheitslücken in Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Angreifer können einen URI für den Apache-Webserver erstellen, der dazu führt, dass mod_proxy die Anfrage an einen vom Angreifer ausgewählten Ursprungsserver weiterleitet. Dieses Problem betrifft den Apache HTTP-Server 2.4.48 und frühere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: CVE-Eintrag CVE-2021-40438 Sicherheitslücken in Apache HTTP Server 2.4
CONSUL_RCE	Angreifer können beliebigen Code auf einem Consul-Server ausführen, da die Consul-Instanz mit „-enable-script-checks“ auf „true“ konfiguriert ist und die Consul HTTP API ungesichert und über das Netzwerk zugänglich ist. In Consul 0.9.0 und früher sind Skriptprüfungen standardmäßig aktiviert. Weitere Informationen finden Sie unter Consul vor RCE-Risiko in bestimmten Konfigurationen schützen. Um diese Sicherheitslücke zu erkennen, registriert Rapid Vulnerability Detection einen Dienst in der Consul-Instanz über den REST-Endpunkt „/v1/health/service“. Anschließend wird einer der folgenden Schritte ausgeführt: * Ein curl-Befehl an einen Remote-Server außerhalb des Netzwerks. Ein Angreifer kann den curl-Befehl verwenden, um Daten vom Server zu exfiltrieren. * Ein printf-Befehl. Rapid Vulnerability Detection prüft dann die Ausgabe des Befehls mit dem REST-Endpunkt „/v1/health/service“. * Nach dem Check bereinigt und deregistriert die schnelle Sicherheitslückenerkennung den Dienst über den REST-Endpunkt „/v1/agent/service/deregister/“.
DRUID_RCE	Apache Druid bietet die Möglichkeit, benutzerdefinierten JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für die Verwendung in Umgebungen mit hohem Vertrauen vorgesehen und ist standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen ist es jedoch möglich, dass ein authentifizierter Nutzer eine speziell gestaltete Anfrage sendet, die Druid zwingt, benutzerdefinierten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. Dies kann genutzt werden, um Code auf dem Zielcomputer mit den Berechtigungen des Druid-Serverprozesses auszuführen. Weitere Informationen finden Sie unter CVE-2021-25646 Detail.
DRUPAL_RCE	Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Codeausführung bei Formular-API-AJAX-Anfragen. Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für Remote-Code-Ausführung, wenn entweder das RESTful-Webdienst-Modul oder die JSON-Datei:API ist aktiviert. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
FLINK_FILE_DISCLOSURE	Durch eine Sicherheitslücke in Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle des JobManager-Prozesses lesen. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
GITLAB_RCE	In GitLab Community Edition (CE) und Enterprise Edition (EE) Version 11.9 und höher werden Bilddateien, die an einen Dateiparser übergeben werden, nicht richtig validiert. Ein Angreifer kann diese Sicherheitslücke für die Ausführung von Remote-Befehlen ausnutzen.
GoCD_RCE	In GoCD 21.2.0 und früher gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt weist eine Sicherheitslücke für Directory Traversal auf, die es einem Nutzer ermöglicht, ohne Authentifizierung jede Datei auf dem Server zu lesen.
JENKINS_RCE	Jenkins-Versionen 2.56 und früher sowie 2.46.1 LTS und früher sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch einen nicht authentifizierten Angreifer über ein schädliches serialisiertes Java-Objekt ausgelöst werden.
JOOMLA_RCE	Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann mit einem erstellten Header mit serialisierten PHP-Objekten ausgelöst werden. Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch Senden einer POST-Anfrage mit einem erstellten serialisierten PHP-Objekt ausgelöst werden.
LOG4J_RCE	In Apache Log4j2 2.14.1 und früheren Versionen schützen JNDI-Funktionen, die in Konfigurationen, Logeinträgen und Parametern verwendet werden, nicht vor LDAP- und anderen JNDI-bezogenen Endpunkten, die von Angreifern kontrolliert werden. Weitere Informationen finden Sie unter CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT bis Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer confirm_hash-Wert bereitgestellt.
OGNL_RCE	Confluence Server- und Data Center-Instanzen enthalten eine OGNL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen. Weitere Informationen finden Sie unter CVE-2021-26084.
OPENAM_RCE	OpenAM-Server 14.6.2 und früher sowie ForgeRock AM-Server 6.5.3 und früher weisen auf mehreren Seiten eine Java-Deserialisierungs-Sicherheitslücke im Parameter „jato.pageSession“ auf. Für die Ausnutzung ist keine Authentifizierung erforderlich und die Ausführung von Remote-Code kann durch Senden einer einzelnen speziell präparierten /ccversion/*-Anfrage an den Server ausgelöst werden. Die Sicherheitslücke besteht aufgrund der Verwendung von Sun ONE Application. Weitere Informationen finden Sie unter CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, einen Oracle WebLogic Server zu kompromittieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zur Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882.
PHPUNIT_RCE	PHPUnit vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
PHP_CGI_RCE	PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2, wenn sie als CGI-Skript konfiguriert sind, die Ausführung von Remote-Code zulassen. Der anfällige Code verarbeitet Abfragestrings, die kein Gleichheitszeichen (=) enthalten, nicht ordnungsgemäß. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
PORTAL_RCE	Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
REDIS_RCE	Wenn für eine Redis-Instanz keine Authentifizierung erforderlich ist, um Administratorbefehle auszuführen, können Angreifer möglicherweise beliebigen Code ausführen.
SOLR_FILE_EXPOSED	Die Authentifizierung ist in Apache Solr, einem Open-Source-Suchserver, nicht aktiviert. Wenn für Apache Solr keine Authentifizierung erforderlich ist, kann ein Angreifer direkt eine Anfrage erstellen, um eine bestimmte Konfiguration zu aktivieren und schließlich eine serverseitige Fälschungsanfrage (SSRF) zu implementieren oder beliebige Dateien zu lesen.
SOLR_RCE	Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Ausführung von Remote-Code über den VelocityResponseWriter, wenn „params.resource.loader.enabled“ auf „true“ gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
STRUTS_RCE	Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind für die Remote-Codeausführung anfällig. Die Sicherheitslücke kann durch einen nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt. Das REST-Plug-in in Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist anfällig für die Ausführung von Remote-Code bei der Deserialisierung von manipulierten XML-Nutzlasten. Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn „alwaysSelectFullNamespace“ auf „true“ gesetzt ist und bestimmte andere Aktionskonfigurationen vorhanden sind.
TOMCAT_FILE_DISCLOSURE	Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für die Offenlegung von Quellcode und Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
VBULLETIN_RCE	Bei vBulletin-Servern, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, kann die Ausführung von Remote-Code nicht ausgeführt werden. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer Routestring-Anfrage verwendet.
VCENTER_RCE	VMware vCenter Server-Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l und 6.5 vor 6.5 U3n sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke zur Remotecodeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese Sicherheitslücke hängt mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883 zusammen. Weitere Informationen finden Sie unter CVE-2020-14883.
OS_VULNERABILITY	VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.
UNUSED_IAM_ROLE	Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: „Owner“, „Editor“ oder „Viewer“. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden.

Unterstützte GCP_SECURITYCENTER_MISCONFIGURATION-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Referenz zur Feldzuordnung: FALSCHE KONFIGURATION.

Name des Ergebnisses	Beschreibung
API_KEY_APIS_UNRESTRICTED	API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.
API_KEY_APPS_UNRESTRICTED	API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.
API_KEY_EXISTS	Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.
API_KEY_NOT_ROTATED	Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert
PUBLIC_COMPUTE_IMAGE	Ein Compute Engine-Image ist öffentlich zugänglich.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing ist auf einer Compute Engine-Instanz deaktiviert.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.
COMPUTE_SECURE_BOOT_DISABLED	Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.
DEFAULT_SERVICE_ACCOUNT_USED	Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.
FULL_API_ACCESS	Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
OS_LOGIN_DISABLED	OS Login ist für diese Instanz deaktiviert.
PUBLIC_IP_ADDRESS	Eine Instanz hat eine öffentliche IP-Adresse.
SHIELDED_VM_DISABLED	Shielded VM ist auf dieser Instanz deaktiviert.
COMPUTE_SERIAL_PORTS_ENABLED	Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.
DISK_CMEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
HTTP_LOAD_BALANCER	Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.
IP_FORWARDING_ENABLED	Die IP-Weiterleitung ist für Instanzen aktiviert.
WEAK_SSL_POLICY	Eine Instanz hat eine schwache SSL-Richtlinie.
BINARY_AUTHORIZATION_DISABLED	Die Binärautorisierung ist in einem GKE-Cluster deaktiviert.
CLUSTER_LOGGING_DISABLED	Logging ist für einen GKE-Cluster nicht aktiviert.
CLUSTER_MONITORING_DISABLED	Monitoring ist auf GKE-Clustern deaktiviert.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.
INTRANODE_VISIBILITY_DISABLED	Knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Autorisierte Netzwerke auf Steuerungsebene sind in GKE-Clustern nicht aktiviert.
NETWORK_POLICY_DISABLED	Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.
NODEPOOL_SECURE_BOOT_DISABLED	Secure Boot ist für einen GKE-Cluster deaktiviert.
OVER_PRIVILEGED_ACCOUNT	Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff.
OVER_PRIVILEGED_SCOPES	Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy ist in einem GKE-Cluster deaktiviert.
PRIVATE_CLUSTER_DISABLED	Auf einem GKE-Cluster ist ein privater Cluster deaktiviert.
WORKLOAD_IDENTITY_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
LEGACY_AUTHORIZATION_ENABLED	Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.
NODEPOOL_BOOT_CMEK_DISABLED	Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
WEB_UI_ENABLED	Die GKE-Web-UI (Dashboard) ist aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Cluster, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Das Feature für automatische Upgrades eines GKE-Cluster, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
BIGQUERY_TABLE_CMEK_DISABLED	Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
DATASET_CMEK_DISABLED	Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
EGRESS_DENY_RULE_NOT_SET	In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.
FIREWALL_RULE_LOGGING_DISABLED	Firewallregel-Logging ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.
OPEN_CASSANDRA_PORT	Eine Firewall ist für einen offenen Cassandra-Port mit generischem Zugriff konfiguriert.
Offener SMTP-Port	Eine Firewall ist für einen offenen SMTP-Port mit generischem Zugriff konfiguriert.
OPEN_REDIS_PORT	Eine Firewall ist für einen offenen REDIS-Port mit generischem Zugriff konfiguriert.
OPEN_POSTGRESQL_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt.
OPEN_POP3_PORT	Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert.
OPEN_ORACLEDB_PORT	Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert.
OPEN_NETBIOS_PORT	Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert.
OPEN_MYSQL_PORT	Eine Firewall ist für einen offenen MYSQL-Port mit generischem Zugriff konfiguriert.
OPEN_MONGODB_PORT	Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert.
OPEN_MEMCACHED_PORT	Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert.
OPEN_LDAP_PORT	Eine Firewall ist für einen offenen LDAP-Port mit generischem Zugriff konfiguriert.
OPEN_FTP_PORT	Eine Firewall ist für einen offenen FTP-Port mit generischem Zugriff konfiguriert.
OPEN_ELASTICSEARCH_PORT	Eine Firewall ist für einen offenen ELASTICSEARCH-Port mit generischem Zugriff konfiguriert.
OPEN_DNS_PORT	Eine Firewall ist für einen offenen DNS-Port mit generischem Zugriff konfiguriert.
OPEN_HTTP_PORT	Eine Firewall ist für einen offenen HTTP-Port mit generischem Zugriff konfiguriert.
OPEN_DIRECTORY_SERVICES_PORT	Eine Firewall ist für einen offenen DIRECTORY_SERVICES-Port mit generischem Zugriff konfiguriert.
OPEN_CISCOSECURE_WEBSM_PORT	Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.
OPEN_RDP_PORT	Eine Firewall ist für einen offenen RDP-Port mit generischem Zugriff konfiguriert.
OPEN_TELNET_PORT	Eine Firewall ist für einen offenen TELNET-Port mit generischem Zugriff konfiguriert.
OPEN_FIREWALL	Eine Firewall ist für den öffentlichen Zugriff konfiguriert.
OPEN_SSH_PORT	Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert.
SERVICE_ACCOUNT_ROLE_SEPARATION	Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“.
NON_ORG_IAM_MEMBER	Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS Google Cloud Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Ein Nutzer hat die Rolle „Dienstkontonutzer“ oder „Ersteller von Dienstkonto-Tokens“ auf Projektebene, statt für ein bestimmtes Dienstkonto.
ADMIN_SERVICE_ACCOUNT	Ein Dienstkonto hat Administrator-, Inhaber- oder Bearbeiterberechtigungen. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Ein Nutzer verwaltet einen Dienstkontoschlüssel.
PRIMITIVE_ROLES_USED	Ein Nutzer hat die einfache Rolle „Inhaber“, „Autor“ oder „Leser“. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden.
KMS_ROLE_SEPARATION	Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Verschlüsseler oder Entschlüsseler.
OPEN_GROUP_IAM_MEMBER	Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet.
KMS_KEY_NOT_ROTATED	Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Schlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden.
KMS_PROJECT_HAS_OWNER	Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln.
TOO_MANY_KMS_USERS	Es gibt mehr als drei Nutzer kryptografischer Schlüssel.
OBJECT_VERSIONING_DISABLED	Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.
LOCKED_RETENTION_POLICY_NOT_SET	Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.
BUCKET_LOGGING_DISABLED	Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.
LOG_NOT_EXPORTED	Es ist eine Ressource vorhanden, für die keine entsprechende Logsenke konfiguriert wurde.
AUDIT_LOGGING_DISABLED	Audit-Logging wurde für diese Ressource deaktiviert.
MFA_NOT_ENFORCED	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.
ROUTE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.
OWNER_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.
AUDIT_CONFIG_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.
BUCKET_IAM_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert.
CUSTOM_ROLE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert.
FIREWALL_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert.
NETWORK_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.
SQL_INSTANCE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.
DEFAULT_NETWORK	Das Standardnetzwerk ist in einem Projekt vorhanden.
DNS_LOGGING_DISABLED	Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert.
PUBSUB_CMEK_DISABLED	Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_SQL_INSTANCE	Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.
SSL_NOT_ENFORCED	Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL.
AUTO_BACKUP_DISABLED	In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.
SQL_CMEK_DISABLED	Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_LOG_CHECKPOINTS_DISABLED	Das Datenbank-Flag „log_checkpoints“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_LOG_CONNECTIONS_DISABLED	Das Datenbank-Flag „log_connections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_DISCONNECTIONS_DISABLED	Das Datenbank-Flag „log_disconnections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_LOG_DURATION_DISABLED	Das Datenbank-Flag „log_duration“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_LOCK_WAITS_DISABLED	Das Datenbank-Flag „log_lock_waits“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_LOG_STATEMENT	Das Datenbank-Flag „log_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ddl“ (alle Datendefinitionsanweisungen) gesetzt.
SQL_NO_ROOT_PASSWORD	Für eine Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_PUBLIC_IP	Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ gesetzt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
PUBLIC_BUCKET_ACL	Ein Cloud Storage-Bucket ist öffentlich zugänglich.
BUCKET_POLICY_ONLY_DISABLED	Der einheitliche Zugriff auf Bucket-Ebene, zuvor „Nur Bucket-Richtlinie“ genannt, ist nicht konfiguriert.
BUCKET_CMEK_DISABLED	Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
FLOW_LOGS_DISABLED	Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.
PRIVATE_GOOGLE_ACCESS_DISABLED	Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs.
kms_key_region_europe	Aufgrund der Unternehmensrichtlinien müssen alle Verschlüsselungsschlüssel in Europa gespeichert werden.
kms_non_euro_region	Aufgrund der Unternehmensrichtlinien müssen alle Verschlüsselungsschlüssel in Europa gespeichert werden.
LEGACY_NETWORK	Ein Legacy-Netzwerk ist in einem Projekt vorhanden.
LOAD_BALANCER_LOGGING_DISABLED	Logging ist für den Load Balancer deaktiviert.

Unterstützte GCP_SECURITYCENTER_POSTURE_VIOLATION-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Field mapping reference: POSTURE VIOLATION (Referenz zur Feldzuordnung: VERSTOSS GEGEN DIE HALTUNG).

Name des Ergebnisses	Beschreibung
SECURITY_POSTURE_DRIFT	Abweichungen von den in der Sicherheitskonfiguration definierten Richtlinien. Dies wird vom Dienst für die Sicherheitslage erkannt.
SECURITY_POSTURE_POLICY_DRIFT	Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung erfolgt ist.
SECURITY_POSTURE_POLICY_DELETE	Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Diese Löschung erfolgte außerhalb eines Positionsupdates.
SECURITY_POSTURE_DETECTOR_DRIFT	Der Dienst für die Sicherheitslage hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die außerhalb eines Updates der Sicherheitslage aufgetreten ist.
SECURITY_POSTURE_DETECTOR_DELETE	Der Dienst für die Sicherheitslage hat erkannt, dass ein benutzerdefiniertes Modul von Security Health Analytics gelöscht wurde. Diese Löschung erfolgte außerhalb eines Positionsupdates.

Unterstützte Security Center-Logformate

Der Security Center-Parser unterstützt Logs im JSON-Format.

Unterstützte Beispiel-Logs für Security Center

GCP_SECURITYCENTER_THREAT-Beispiellogs

JSON

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME",
    "state": "ACTIVE",
    "category": "Credential Access: External Member Added To Privileged Group",
    "sourceProperties": {
      "sourceId": {
        "organizationNumber": "ORGANIZATION_ID",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "persistence",
        "indicator": "audit_log",
        "ruleName": "external_member_added_to_privileged_group"
      },
      "detectionPriority": "HIGH",
      "affectedResources": [
        {
          "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
        },
        {
          "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
        }
      ],
      "evidence": [
        {
          "sourceLogId": {
            "resourceContainer": "organizations/ORGANIZATION_ID",
            "timestamp": {
              "seconds": "1633622881",
              "nanos": 6.73869E8
            },
            "insertId": "INSERT_ID"
          }
        }
      ],
      "properties": {
        "externalMemberAddedToPrivilegedGroup": {
          "principalEmail": "abc@gmail.com",
          "groupName": "group:GROUP_NAME@ORGANIZATION_NAME",
          "externalMember": "user:abc@gamil.com",
          "sensitiveRoles": [
            {
              "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
              "roleName": [
                "ROLES"
              ]
            }
          ]
        }
      },
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "dummy display name",
          "url": " dummy.url.com"
        },
        "cloudLoggingQueryUri": [
          {
            "displayName": "Cloud Logging Query Link",
            "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d"
          }
        ]
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2022-10-01T16:08:03.888Z",
    "createTime": "2022-10-01T16:08:04.516Z",
    "severity": "HIGH",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "findingClass": "THREAT"
  },
  "resource": {
    "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
  }
}

Beispiellogs für GCP_SECURITYCENTER_MISCONFIGURATION

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "eventApps",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab",
    "category": "API_KEY_APIS_UNRESTRICTED",
    "compliances": [
      {
        "standard": "cis",
        "version": "1.0",
        "ids": [
          "1.12"
        ]
      },
      {
        "standard": "cis",
        "version": "1.1",
        "ids": [
          "1.14"
        ]
      },
      {
        "standard": "cis",
        "version": "1.2",
        "ids": [
          "1.14"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      }
    },
    "createTime": "2022-12-01T15:16:21.119Z",
    "database": {},
    "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "eventTime": "2022-12-01T14:35:42.317Z",
    "exfiltration": {},
    "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705",
    "findingClass": "MISCONFIGURATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "severity": "MEDIUM",
    "sourceDisplayName": "Security Health Analytics",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "display_name": "dummy-display-name",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "domainname.com",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\"
    "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.",
    "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "ScannerName": "API_KEY_SCANNER",
    "ResourcePath": [
      "projects/eventapps-27705/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "cis": [
        {
          "version": "1.0",
          "ids": [
            "1.12"
          ]
        },
        {
          "version": "1.1",
          "ids": [
            "1.14"
          ]
        },
        {
          "version": "1.2",
          "ids": [
            "1.14"
          ]
        }
      ]
    },
    "ReactivationCount": 0
  }
}

Beispiellogs für GCP_SECURITYCENTER_OBSERVATION

JSON

{
  "findings": {
    "access": {
      "principalEmail": "dummy.user@dummy.com",
      "callerIp": "198.51.100.1",
      "callerIpGeo": {
        "regionCode": "SG"
      },
      "serviceName": "compute.googleapis.com",
      "methodName": "v1.compute.projects.setCommonInstanceMetadata",
      "principalSubject": "user:dummy.user@dummy.com"
    },
    "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Persistence: Project SSH Key Added",        
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy.user@dummy.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2022-11-10T18:33:07.631Z",
    "database": {},
    "eventTime": "2022-11-10T18:33:07.271Z",
    "exfiltration": {},
    "findingClass": "OBSERVATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "primaryTactic": "PERSISTENCE",
      "primaryTechniques": [
        "ACCOUNT_MANIPULATION",
        "SSH_AUTHORIZED_KEYS"
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID",
    "parentDisplayName": "Sensitive Actions Service",
    "resourceName": "//compute.googleapis.com/projects/spring-banner-350111",
    "severity": "LOW",
    "sourceDisplayName": "Sensitive Actions Service",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/spring-banner-350111",
    "display_name": "spring-banner-350111",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "parent_display_name": "spring-banner-350111",
    "type": "google.compute.Project",
    "folders": []
  },
  "sourceProperties": {
    "sourceId": {
      "projectNumber": "856289305908",
      "customerOrganizationNumber": "ORGANIZATION_ID"
    },
    "detectionCategory": {
      "ruleName": "sensitive_action",
      "subRuleName": "add_ssh_key"
    },
    "detectionPriority": "LOW",
    "affectedResources": [
      {
        "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111"
      },
      {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908"
      }
    ],
    "evidence": [
      {
        "sourceLogId": {
          "projectId": "spring-banner-350111",
          "resourceContainer": "projects/spring-banner-350111",
          "timestamp": {
            "seconds": "1668105185",
            "nanos": 642158000
          },
          "insertId": "v2stobd9ihi"
        }
      }
    ],
    "properties": {},
    "findingId": "findingId",
    "contextUris": {
      "mitreUri": {
        "displayName": "MITRE Link",
        "url": "dummy.domain.com"
      }
    }
  }
}

Beispiellogs für GCP_SECURITYCENTER_VULNERABILITY

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "Sample-00000",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "CLEAR_TEXT_PASSWORD",
    "compliances": [
      {
        "standard": "owasp",
        "version": "2017",
        "ids": [
          "A3"
        ]
      },
      {
        "standard": "owasp",
        "version": "2021",
        "ids": [
          "A02"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      }
    },
    "createTime": "2022-11-24T09:28:52.589Z",
    "database": {},
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "eventTime": "2022-11-24T04:56:26Z",
    "exfiltration": {},
    "externalUri": "https://sample.dummy.com/",
    "findingClass": "VULNERABILITY",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Web Security Scanner",
    "resourceName": "//dummy.sample.com",
    "severity": "MEDIUM",
    "sourceDisplayName": "Web Security Scanner",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com",
    "display_name": "dummy_name",
    "project_name": "//cloudresourcemanager.googleapis.com",
    "project_display_name": "dummy_name",
    "parent_name": "//dummy.sample.com",
    "parent_display_name": "Sample-Dev-Project",
    "type": "sample.cloud.dummy.Project",
    "folders": [
      {
        "resourceFolderDisplayName": "Sample-Dev-Project",
        "resourceFolder": "//cloudresourcemanager.googleapis.com/"
      }
    ]
  },
  "sourceProperties": {
    "severity": "MEDIUM",
    "fuzzedUrl": "dummy.domain.com",
    "form": {
      "actionUri": "dummy.domain.com",
      "fields": [
        "os_username",
        "os_password",
        "",
        "os_cookie",
        "os_destination",
        "user_role",
        "atl_token",
        "login"
      ]
    },
    "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID",
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=",
    "httpMethod": "GET",
    "finalUrl": "http://0.0.0.0:0000/sample.dummy=",
    "ResourcePath": [
      "projects/sample-dummy/",
      "folders/FOLDER_ID/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "owasp": [
        {
          "version": "2017",
          "ids": [
            "A3"
          ]
        },
        {
          "version": "2021",
          "ids": [
            "A02"
          ]
        }
      ]
    }
  }
}

Beispiellogs für GCP_SECURITYCENTER_ERROR

JSON

{
  "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
  "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
  "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423",
  "state": "ACTIVE",
  "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS",
  "securityMarks": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
  },
  "eventTime": "2022-11-23T16:36:03.458107Z",
  "createTime": "2022-11-01T07:36:37.078Z",
  "severity": "CRITICAL",
  "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID",
  "mute": "UNDEFINED",
  "findingClass": "SCC_ERROR",
  "access": {
    "callerIpGeo": {}
  },
  "contacts": {
    "security": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    },
    "technical": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    }
  },
  "parentDisplayName": "Security Command Center",
  "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.",
  "iamBindings": [
    {
      "member": "test.user@domain.com"
    }
  ],
  "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n   - If you don\\u0027t see the service account listed, click  **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n    1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update"
}

Beispiel-Logs für GCP_SECURITYCENTER_UNSPECIFIED

JSON

{
  "findings": {
    "access": {},
    "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "OPEN_FIREWALL",
    "compliances": [
      {
        "standard": "pci",
        "ids": [
          "1.2.1"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2021-07-20T08:33:25.343Z",
    "database": {},
    "eventTime": "2022-07-19T07:44:38.374Z",
    "exfiltration": {},
    "externalUri": "dummy.domain.com",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "MUTED",
    "muteInitiator": "Muted by test.user@dummy.xyz",
    "muteUpdateTime": "2022-03-08T05:41:06.507Z",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID"
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "severity": "HIGH",
    "sourceDisplayName": "Sanity_grc",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "display_name": "",
    "project_name": "",
    "project_display_name": "",
    "parent_name": "",
    "parent_display_name": "",
    "type": "",
    "folders": []
  },
  "sourceProperties": {
    "ScannerName": "FIREWALL_SCANNER",
    "ResourcePath": [
      "projects/calcium-vial-280707/",
      "organizations/ORGANIZATION_ID/"
    ],
    "ReactivationCount": 0,
    "AllowedIpRange": "All",
    "ExternallyAccessibleProtocolsAndPorts": [
      {
        "IPProtocol": "tcp",
        "ports": [
          "80"
        ]
      }
    ]
  }
}

Referenz zur Feldzuordnung

In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser Security Command Center-Logfelder für die Datasets den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations zuordnet.

Referenz für die Feldzuordnung: Rohlogfelder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Ergebnisse von Event Threat Detection in Security Command Center aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Logfeldwert `connections.destinationIp` nicht gleich dem Wert von `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `about.labels.value` zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Logfeldwert `connections.destinationIp` nicht gleich dem Wert von `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Wenn der Wert des Logfelds `message` mit dem Muster des regulären Ausdrucks `kubernetes` übereinstimmt, wird das UDM-Feld `target.resource_ancestors.resource_type` auf CLUSTER gesetzt. Andernfalls wird das UDM-Feld `target.resource_ancestors.resource_type` auf POD gesetzt, wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `kubernetes.*?pods` übereinstimmt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das UDM-Feld `extension.auth.type` auf `SSO` gesetzt.
	`extension.mechanism`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das UDM-Feld `extension.mechanism` auf `USERNAME_PASSWORD` gesetzt.
	`extensions.auth.type`	Wenn der Wert des Logfelds `principal.user.user_authentication_status` gleich `ACTIVE` ist, wird das UDM-Feld `extensions.auth.type` auf `SSO` gesetzt.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Log4j Compromise Attempt` ist, wird das Logfeld `sourceProperties.properties.loadBalancerName` dem UDM-Feld `intermediary.resource.name` zugeordnet.
	`intermediary.resource.resource_type`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Log4j Compromise Attempt` ist, wird das UDM-Feld `intermediary.resource.resource_type` auf `BACKEND_SERVICE` gesetzt.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des Logfelds `canonicalName` nicht leer ist, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert. Wenn der Wert des Logfelds `finding_id` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet. Wenn der Wert des Logfelds `canonicalName` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet.
	`metadata.product_name`	Das UDM-Feld `metadata.product_name` ist auf `Security Command Center` gesetzt.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Das UDM-Feld `metadata.vendor_name` ist auf `Google` gesetzt.
	`network.application_protocol`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das UDM-Feld `network.application_protocol` auf `DNS` gesetzt.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.asn` dem UDM-Feld `network.asn` zugeordnet.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.carrierName` dem UDM-Feld `network.carrier_name` zugeordnet.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.reverseDnsDomain` dem UDM-Feld `network.dns_domain` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.responseClass` dem UDM-Feld `network.dns.answers.class` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Malware: Bad Domain` übereinstimmt, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.responseValue` dem UDM-Feld `network.dns.answers.data` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.domainName` dem UDM-Feld `network.dns.answers.name` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.ttl` dem UDM-Feld `network.dns.answers.ttl` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.responseType` dem UDM-Feld `network.dns.answers.type` zugeordnet.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.authAnswer` dem UDM-Feld `network.dns.authoritative` zugeordnet.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.queryName` dem UDM-Feld `network.dns.questions.name` zugeordnet.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.queryType` dem UDM-Feld `network.dns.questions.type` zugeordnet.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseCode` dem UDM-Feld `network.dns.response_code` zugeordnet.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.callerUserAgent` dem UDM-Feld `network.http.user_agent` zugeordnet.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.callerUserAgent` dem UDM-Feld `network.http.user_agent` zugeordnet.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` dem UDM-Feld `network.http.user_agent` zugeordnet.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das UDM-Feld `network.ip_protocol` auf einen der folgenden Werte festgelegt: `ICMP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `1` oder `ICMP`. `IGMP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `2` oder `IGMP`. `TCP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `6` oder `TCP`. `UDP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `17` oder `UDP`. `IP6IN4`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `41` oder `IP6IN4`. `GRE`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `47` oder `GRE`. `ESP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `50` oder `ESP`. `EIGRP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `88` oder `EIGRP`. `ETHERIP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `97` oder `ETHERIP`. `PIM`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `103` oder `PIM`. `VRRP`, wenn die folgenden Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `112` oder `VRRP`. `UNKNOWN_IP_PROTOCOL`, wenn der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` einem anderen Wert entspricht.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.organizationName` dem UDM-Feld `network.organization_name` zugeordnet.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.behaviorPeriod` dem UDM-Feld `network.session_duration` zugeordnet.
`sourceProperties.properties.sourceIp`	`principal.ip`	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das Logfeld `sourceProperties.properties.sourceIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.sourceIp` dem UDM-Feld `principal.ip` zugeordnet.
`access.callerIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.callerIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Evasion: Access from Anonymizing Proxy` ist, wird das Logfeld `sourceProperties.properties.changeFromBadIp.ip` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.sourceIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.srcIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Wenn der Logfeldwert `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist und der Logfeldwert `sourceProperties.properties.ipConnection.srcIp` nicht gleich `sourceProperties.properties.indicatorContext.ipAddress` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.ipAddress` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.callerIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (verworfen)	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das Logfeld `sourceProperties.properties.scannerDomain` dem UDM-Feld `principal.labels.key/value` zugeordnet.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das Logfeld `sourceProperties.properties.scannerDomain` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobState` dem UDM-Feld `principal.labels.key/value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobState` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.countryCode` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.job.location` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.job.location` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.anomalousLocation` dem UDM-Feld `principal.location.name` zugeordnet.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.srcPort` dem UDM-Feld `principal.port` zugeordnet.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.jobLink` dem UDM-Feld `principal.process.file.full_path` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobLink` dem UDM-Feld `principal.process.file.full_path` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` dem UDM-Feld `principal.process.pid` zugeordnet.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.job.jobId` dem UDM-Feld `principal.process.pid` zugeordnet.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.srcVpc.subnetworkName` dem UDM-Feld `principal.resource_ancestors.attribute.labels.value` zugeordnet.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.srcVpc.projectId` dem UDM-Feld `principal.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `principal.resource_ancestors.name` zugeordnet und das UDM-Feld `principal.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `principal.resource.attribute.labels.key/value` zugeordnet.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Wenn der Wert des Logfelds `sourceProperties.properties.projectId` nicht leer ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `principal.resource.name` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` dem UDM-Feld `principal.resource.name` zugeordnet.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.sourceInstanceDetails` dem UDM-Feld `principal.resource.name` zugeordnet.
	`principal.user.account_type`	Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `SERVICE_ACCOUNT_TYPE` gesetzt. Andernfalls: Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `user` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `CLOUD_ACCOUNT_TYPE` gesetzt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das UDM-Feld `principal.user.attribute.labels.key` auf `rawUserAgent` gesetzt und das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` wird dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Evasion: Access from Anonymizing Proxy` ist, wird das Logfeld `sourceProperties.properties.changeFromBadIp.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.userEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: GCE Admin Added Startup Script`, `Persistence: GCE Admin Added SSH Key` ist, wird das Logfeld `sourceProperties.properties.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `sourceProperties.properties.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`access.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Persistence: New Geography` ist, wird das Logfeld `access.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.vpcViolation.userEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das Logfeld `sourceProperties.properties.ssoState` dem UDM-Feld `principal.user.user_authentication_status` zugeordnet.
`database.userName`	`principal.user.userid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.userName` dem UDM-Feld `principal.user.userid` zugeordnet.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.threatIntelligenceSource` dem UDM-Feld `security_result.about.application` zugeordnet.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.sourceIp` dem UDM-Feld `security_result.about.ip` zugeordnet.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedResources.resourceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` wird auf `CLOUD_PROJECT` gesetzt.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.allowedServices.serviceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` wird auf `BACKEND_SERVICE` gesetzt.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedServices.serviceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` wird auf `BACKEND_SERVICE` gesetzt.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.accessLevels.policyName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` wird auf `ACCESS_POLICY` gesetzt.
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `security` festgelegt. Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das UDM-Feld `security_result.action` auf `BLOCK` gesetzt. Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist und der Wert des Logfelds `sourceProperties.properties.attempts.authResult` gleich `SUCCESS` ist, wird das UDM-Feld `security_result.action` auf `BLOCK` gesetzt. Andernfalls wird das UDM-Feld `security_result.action` auf `BLOCK` gesetzt.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedResources.action` dem UDM-Feld `security_result.action_details` zugeordnet.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedServices.action` dem UDM-Feld `security_result.action_details` zugeordnet.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.allowedServices.action` dem UDM-Feld `security_result.action_details` zugeordnet.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.accessLevels.action` dem UDM-Feld `security_result.action_details` zugeordnet.
	`security_result.alert_state`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Andernfalls wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass`	`security_result.catgory_details`	Das Logfeld `findingClass - category` wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`category`	`security_result.catgory_details`	Das Logfeld `findingClass - category` wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteInitiator` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteUpdateTimer` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.authResult` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.customer_industry` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.customer_name` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.lasthit` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.myVote` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.support_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_name` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.upVotes` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.downVotes` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP`, oder `Persistence: IAM Anomalous Grant` ist, wird das UDM-Feld `security_result.detection_fields.key` auf `sourceProperties_contextUris_relatedFindingUri_url` gesetzt und das Logfeld `sourceProperties.contextUris.relatedFindingUri.url` wird dem UDM-Feld `metadata.url_back_to_product` zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.contextUris.workspacesUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.workspacesUri.url` dem UDM-Feld `security_result.detection_fields.key/value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` dem UDM-Feld `intermediary.labels.key` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.description` dem UDM-Feld `intermediary.labels.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `HIGH` ist, wird das UDM-Feld `security_result.priority` auf `HIGH_PRIORITY` gesetzt. Andernfalls gilt: Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `MEDIUM` ist, wird das UDM-Feld `security_result.priority` auf `MEDIUM_PRIORITY` gesetzt. Andernfalls gilt: Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `LOW` ist, wird das UDM-Feld `security_result.priority` auf `LOW_PRIORITY` gesetzt.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Exfiltration` ist, wird das Logfeld `sourceProperties.properties.vpcViolation.violationReason` dem UDM-Feld `security_result.summary` zugeordnet.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.query` dem UDM-Feld `src.process.command_line` zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.folders.resourceFolderDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.projectDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`parent`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `parent` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` dem UDM-Feld `src.resource_ancestors.name` zugeordnet und das UDM-Feld `src.resource_ancestors.resource_type` wird auf `TABLE` gesetzt.
`resourceName`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `resourceName` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.folders.resourceFolder` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.projectNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.organizationNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das UDM-Feld `src.resource.attribute.labels.key` auf `grantees` gesetzt und das Logfeld `database.grantees` wird dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resource.displayName`	`principal.hostname`	Wenn der Wert des Logfelds `resource.type` mit dem Muster des regulären Ausdrucks `(?i)google.compute.Instance or google.container.Cluster` übereinstimmt, wird das Logfeld `resource.displayName` dem UDM-Feld `principal.hostname` zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.display_name` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.projectId` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.backupId` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `src.resource.attribute.labels.key/value` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.sources.name` dem UDM-Feld `src.resource.name` und das Logfeld `resourceName` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` dem UDM-Feld `src.resource.name` zugeordnet und das UDM-Feld `src.resource.resource_subtype` wird auf `CloudSQL` gesetzt.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Wenn der Logfeldwert `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` dem UDM-Feld `src.resource.name` zugeordnet und das UDM-Feld `src.resource.resource_subtype` auf `CloudSQL` gesetzt. Andernfalls, wenn der Logfeldwert `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` dem UDM-Feld `src.resource.name` zugeordnet und das UDM-Feld `src.resource.resource_subtype` auf `CloudSQL` gesetzt.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.sources.name` dem UDM-Feld `src.resource.name` und das Logfeld `resourceName` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.tableId` dem UDM-Feld `src.resource.product_object_id` zugeordnet.
`access.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.serviceName` dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.serviceName` dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.domainName`	`target.domain.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.domainName` dem UDM-Feld `target.domain.name` zugeordnet.
`sourceProperties.properties.domains.0`	`target.domain.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.domains.0` dem UDM-Feld `target.domain.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` dem UDM-Feld `target.group.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.customRoleSensitivePermissions.permissions` dem UDM-Feld `target.group.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.customRoleSensitivePermissions.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.destIp` dem UDM-Feld `target.ip` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.methodName` dem UDM-Feld `target.labels.value` zugeordnet.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Wenn der Wert des Logfelds `category` gleich `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.methodName` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.network.location`	`target.location.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.network.location` dem UDM-Feld `target.location.name` zugeordnet.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.destPort` dem UDM-Feld `target.port` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.query` dem UDM-Feld `target.process.command_line` zugeordnet.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Das Logfeld `containers.labels.name` wird dem UDM-Feld `target.resource_ancestors.attribute.labels.key` und das Logfeld `containers.labels.value` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.destVpc.projectId` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.destVpc.subnetworkName` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.network.subnetworkName` dem UDM-Feld `target.resource_ancestors.value` zugeordnet.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.network.subnetworkId` dem UDM-Feld `target.resource_ancestors.value` zugeordnet.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`parent`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`containers.name`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.destVpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet, das Logfeld `sourceProperties.properties.vpc.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` ist, wird das Logfeld `sourceProperties.properties.vpcName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das Logfeld `sourceProperties.properties.gceInstanceId` dem UDM-Feld `target.resource_ancestors.product_object_id` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.zone` dem UDM-Feld `target.resource.attribute.cloud.availability_zone` zugeordnet.
`canonicalName`	`metadata.product_log_id`	Der `finding_id`-Wert wird aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert. Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `metadata.product_log_id` zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `src.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `src.resource.product_object_id` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `src.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `target.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.product_object_id` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das UDM-Feld `target.resource.attribute.labels.key` auf `exportScope` gesetzt und das Logfeld `sourceProperties.properties.exportToGcs.exportScope` wird dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.objectName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.originalUri` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.metadataKeyOperation` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.targets.components` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketAccess` dem UDM-Feld `target.resource.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.name`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`resourceName`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`exfiltration.targets.name`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.vmName` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.instanceDetails` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.attribute.name` und das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` und das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` dem UDM-Feld `target.resource.attribute.labels` zugeordnet und das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.instanceId` dem UDM-Feld `target.resource.product_object_id` zugeordnet.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.resource_subtype` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das UDM-Feld `target.resource.resource_subtype` auf `Privileged Group` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das UDM-Feld `target.resource.resource_subtype` auf `BigQuery` gesetzt.
	`target.resource.resource_type`	Wenn der Wert des Logfelds `sourceProperties.properties.extractionAttempt.destinations.collectionType` mit dem regulären Ausdruck `BUCKET` übereinstimmt, wird das UDM-Feld `target.resource.resource_type` auf `STORAGE_BUCKET` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das UDM-Feld `target.resource.resource_type` auf `TABLE` gesetzt.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.jobLink` dem UDM-Feld `target.url` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.jobLink` dem UDM-Feld `target.url` zugeordnet.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.gcsUri` dem UDM-Feld `target.url` zugeordnet.
`sourceProperties.properties.requestUrl`	`target.url`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Log4j Compromise Attempt` ist, wird das Logfeld `sourceProperties.properties.requestUrl` dem UDM-Feld `target.url` zugeordnet.
`sourceProperties.properties.policyLink`	`target.url`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.policyLink` dem UDM-Feld `target.url` zugeordnet.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.notSeenInLast` dem UDM-Feld `target.user.attribute.labels.value` zugeordnet.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.username` dem UDM-Feld `target.user.userid` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `userid` dem UDM-Feld `target.user.userid` zugeordnet.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `userid` dem UDM-Feld `target.user.userid` zugeordnet.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (verworfen)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (verworfen)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Added Binary Executed` oder `Added Library Loaded` ist, wird das Logfeld `sourceProperties.VM_Instance_Name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das Logfeld `sourceProperties.Backend_Service` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das UDM-Feld `target.resource.resource_type` auf `BACKEND_SERVICE` gesetzt. Wenn der Wert des Logfelds `category` gleich `Configurable Bad Domain` ist, wird das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : `user_id` wurde aus dem Logfeld `sourceProperties.properties.sensitiveRoleGrant.principalEmail` extrahiert. Das Feld `user_id` wird dann dem UDM-Feld `principal.user.userid` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : `user_id` wurde aus dem Logfeld `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` extrahiert. Das Feld `user_id` wird dann dem UDM-Feld `principal.user.userid` zugeordnet.
`resourceName`	`principal.asset.location.name`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field, dann wird das Logfeld `region` dem UDM-Feld `principal.asset.location.name` zugeordnet.
`resourceName`	`principal.asset.product_object_id`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann Grok: Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field (Grok: `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert), wird das Logfeld `asset_prod_obj_id` dem UDM-Feld `principal.asset.product_object_id` zugeordnet.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann Grok: Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field (Grok: `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert), dann wird das Logfeld `zone_suffix` dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann Grok: Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field (Grok: `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert), dann wird das Logfeld `project_name` dem UDM-Feld `principal.asset.attribute.labels.value` zugeordnet.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.methodName` dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.methodName` dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.serviceName` dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.serviceName` dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.attemptTimes` dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.attemptTimes` dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Logfeldwert `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.lastOccurredTime` dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions` ist, wird das Logfeld `sourceProperties.properties.failedActions.lastOccurredTime` dem UDM-Feld `additional.fields` zugeordnet.
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	Wenn der Wert des Logfelds `category` einen der folgenden Werte enthält, wird das Logfeld `resource.resourcePathString` dem UDM-Feld `src.resource.attribute.labels[resource_path_string]` zugeordnet. `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` Andernfalls wird das Logfeld `resource.resourcePathString` dem UDM-Feld `target.resource.attribute.labels[resource_path_string]` zugeordnet.

Feldzuordnung: Ereigniskennung zu Ereignistyp

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Die folgenden Tabellen enthalten UDM-Ereignistypen und die Zuordnung von UDM-Feldern für die Security Command Center-Klassen VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED und POSTURE_VIOLATION.

VULNERABILITY-Kategorie zum UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „VULNERABILITY“ und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Kategorie „Falsche Konfiguration“ zum UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „FALSCHE KONFIGURATION“ und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
Offener SMTP-Port	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

OBSERVATION-Kategorie zum UDM-Ereignistyp

In der folgenden Tabelle sind die OBSERVATION-Kategorie und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
Persistenz: Projekt-SSH-Schlüssel hinzugefügt	SETTING_MODIFICATION
Persistenz: Sensible Rolle hinzufügen	RESOURCE_PERMISSIONS_CHANGE
Auswirkung: GPU-Instanz erstellt	USER_RESOURCE_CREATION
Auswirkungen: Viele Instanzen erstellt	USER_RESOURCE_CREATION

ERROR-Kategorie zum UDM-Ereignistyp

In der folgenden Tabelle sind die ERROR-Kategorie und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Kategorie „UNSPECIFIED“ für UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie UNSPECIFIED und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Kategorie „POSTURE_VIOLATION“ für UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie POSTURE_VIOLATION und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referenz zur Feldzuordnung: VULNERABILITY

In der folgenden Tabelle sind die Logfelder der Kategorie „VULNERABILITY“ und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
Kategorie	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` wurde aus `resourceName` mit einem Grok-Muster extrahiert und dem UDM-Feld `principal.asset.location.name` zugeordnet.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` wurde aus `resourceName` mit einem Grok-Muster extrahiert und dem UDM-Feld `principal.asset.product_object_id` zugeordnet.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` wurde aus `resourceName` mit einem Grok-Muster extrahiert und dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referenz zur Feldzuordnung: FALSCHE KONFIGURATION

In der folgenden Tabelle sind die Logfelder der Kategorie „MISCONFIGURATION“ und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referenz zur Feldzuordnung: OBSERVATION

In der folgenden Tabelle sind die Logfelder der Kategorie „OBSERVATION“ und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referenz zur Feldzuordnung: FEHLER

In der folgenden Tabelle sind die Logfelder der Kategorie „ERROR“ und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz zur Feldzuordnung: UNSPECIFIED

In der folgenden Tabelle sind die Logfelder der Kategorie „UNSPECIFIED“ und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz zur Feldzuordnung: POSTURE_VIOLATION

In der folgenden Tabelle sind die Logfelder der Kategorie POSTURE_VIOLATION und die entsprechenden UDM-Felder aufgeführt.

Logfeld	UDM-Zuordnung	Logik
`finding.resourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `finding.resourceName` nicht leer ist, wird das Logfeld `finding.resourceName` dem UDM-Feld `target.resource.name` zugeordnet. Das Feld `project_name` wird mithilfe des Grok-Musters aus dem Logfeld `finding.resourceName` extrahiert. Wenn der Feldwert `project_name` nicht leer ist, wird das Feld `project_name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `resourceName` nicht leer ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet. Das Feld `project_name` wird mithilfe des Grok-Musters aus dem Logfeld `resourceName` extrahiert. Wenn der Wert des Felds `project_name` nicht leer ist, wird das Feld `project_name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des Logfelds `finding.cloudProvider` einen der folgenden Werte enthält, wird das Logfeld `finding.cloudProvider` dem UDM-Feld `about.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des Logfelds `cloudProvider` einen der folgenden Werte enthält, wird das Logfeld `cloudProvider` dem UDM-Feld `about.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Wenn der Wert des Logfelds `resource.cloudProvider` einen der folgenden Werte enthält, wird das Logfeld `resource.cloudProvider` dem UDM-Feld `target.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Häufig verwendete Felder: SECURITY COMMAND CENTER – VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

In der folgenden Tabelle sind die gängigen Felder der Kategorien SECURITY COMMAND CENTER – VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Logfeldwert `connections.destinationIp` nicht gleich dem Wert von `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `about.labels.value` zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Logfeldwert `connections.destinationIp` nicht gleich dem Wert von `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `additional.fields.value` zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Das UDM-Feld `target.resource_ancestors.resource_type` ist auf `CLUSTER` gesetzt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des Logfelds `canonicalName` nicht leer ist, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert. Wenn der Wert des Logfelds `finding_id` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet. Wenn der Wert des Logfelds `canonicalName` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `principal.resource.attribute.labels.value` zugeordnet.
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `SERVICE_ACCOUNT_TYPE` gesetzt. Andernfalls: Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `user` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `CLOUD_ACCOUNT_TYPE` gesetzt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Wenn der Logfeldwert `access.principalEmail` nicht leer ist und mit dem regulären Ausdruck `^.+@.+$` übereinstimmt, wird das Logfeld `access.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.`access.principalEmail`
`access.principalEmail`	`principal.user.userid`	Wenn der Logfeldwert `access.principalEmail` nicht leer ist und nicht mit dem regulären Ausdruck `^.+@.+$` übereinstimmt, wird das Logfeld `access.principalEmail` dem UDM-Feld `principal.user.userid` zugeordnet.`access.principalEmail`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `security` festgelegt. Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Andernfalls wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass, category`	`security_result.catgory_details`	Das Logfeld `findingClass - category` wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteInitiator` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteUpdateTimer` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP`, oder `Persistence: IAM Anomalous Grant` ist, wird das UDM-Feld `security_result.detection_fields.key` auf `sourceProperties_contextUris_relatedFindingUri_url` gesetzt und das Logfeld `sourceProperties.contextUris.relatedFindingUri.url` wird dem UDM-Feld `metadata.url_back_to_product` zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.contextUris.workspacesUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.workspacesUri.url` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `HIGH` ist, wird das UDM-Feld `security_result.priority` auf `HIGH_PRIORITY` gesetzt. Andernfalls gilt: Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `MEDIUM` ist, wird das UDM-Feld `security_result.priority` auf `MEDIUM_PRIORITY` gesetzt. Andernfalls gilt: Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `LOW` ist, wird das UDM-Feld `security_result.priority` auf `LOW_PRIORITY` gesetzt.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.query` dem UDM-Feld `src.process.command_line` zugeordnet. Andernfalls wird das Logfeld `database.query` dem UDM-Feld `target.process.command_line` zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.folders.resourceFolderDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.folders.resourceFolderDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.folders.resourceFolderDisplay` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.folders.resourceFolderDisplay` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.folders.resourceFolder` dem UDM-Feld `src.resource_ancestors.name` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.folders.resourceFolder` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resource.organization`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.organization` dem UDM-Feld `src.resource_ancestors.name` zugeordnet. Andernfalls wird das Logfeld `resource.organization` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.organization` dem UDM-Feld `src.resource_ancestors.name` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.organization` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.parentDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.parentDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.parentName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.parent` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.parent` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.projectDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.projectDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.gcpMetadata.projectDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Andernfalls wird das Logfeld `resource.gcpMetadata.projectDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das UDM-Feld `src.resource.attribute.labels.key` auf `grantees` gesetzt und das Logfeld `database.grantees` wird dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.displayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.display_name` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.display_name` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.displayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.display_name` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Andernfalls wird das Logfeld `resource.display_name` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.sources.components` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `resourceName` dem UDM-Feld `src.resource.name` zugeordnet.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.serviceName` dem UDM-Feld `target.application` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.zone` dem UDM-Feld `target.resource.attribute.cloud.availability_zone` zugeordnet.
`canonicalName`	`metadata.product_log_id`	Der `finding_id`-Wert wird aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert. Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `metadata.product_log_id` zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `src.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `src.resource.product_object_id` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `src.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `target.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `finding_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.product_object_id` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` aus dem Logfeld `canonicalName` mit einem Grok-Muster extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.targets.components` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`resourceName exfiltration.targets.name`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource.resource_type` wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls, wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.target.name` dem UDM-Feld `target.resource.name` zugeordnet. Andernfalls wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RegionCode` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RemoteHost` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `UserAgent` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `network.http.user_agent` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RequestUriPath` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.url` zugeordnet.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.compromised_account` dem UDM-Feld `principal.user.userid` zugeordnet und das UDM-Feld `principal.user.account_type` wird auf `SERVICE_ACCOUNT_TYPE` gesetzt.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.project_identifier` dem UDM-Feld `principal.resource.product_object_id` zugeordnet.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.private_key_identifier` dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.action_taken` dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.action_taken` dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.finding_type` dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.finding_type` dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.url` dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.security_result.summary`	`security_result.summary`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.security_result.summary` dem UDM-Feld `security_result.summary` zugeordnet.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Nächste Schritte

Datenaufnahme in Google Security Operations

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten