Recoger resultados de Security Command Center
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de Security Command Center configurando Security Command Center e ingiriendo resultados en Google Security Operations. En este documento también se enumeran los eventos admitidos.
Para obtener más información, consulta Ingestión de datos en Google Security Operations y Exportar resultados de Security Command Center a Google Security Operations. Una implementación típica consta de Security Command Center y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente y más compleja.
La implementación contiene los siguientes componentes:
Google Cloud: sistema que se va a monitorizar en el que está instalado Security Command Center.
Resultados de Event Threat Detection de Security Command Center: recoge información de la fuente de datos y genera resultados.
Google Security Operations: conserva y analiza los registros de Security Command Center.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de ingesta:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configurar Security Command Center y Google Cloud para enviar resultados a Google Security Operations
Asegúrate de que todos los sistemas de la implementación estén configurados en la zona horaria UTC.
Habilita la ingestión de resultados de Security Command Center.
Resultados admitidos de Event Threat Detection
En esta sección se enumeran los resultados admitidos de Event Threat Detection. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta el artículo Reglas de Event Threat Detection.
| FindingName | Descripción |
|---|---|
| Análisis activo: Log4j es vulnerable a la ejecución remota de código | Detecta vulnerabilidades de Log4j activas identificando consultas DNS de dominios no ofuscados que han iniciado escáneres de vulnerabilidades de Log4j compatibles. |
| Fuerza bruta: SSH | Detección de ataques de fuerza bruta de SSH en un host. |
| Acceso a credenciales: miembro externo añadido a un grupo con privilegios | Detecta cuándo se añade un miembro externo a un grupo de Google con privilegios (un grupo al que se le han concedido roles o permisos sensibles). Una detección solo se genera si el grupo no contiene ya otros miembros externos de la misma organización que el miembro recién añadido. Para obtener más información, consulta Cambios no seguros en Grupos de Google. |
| Acceso a credenciales: grupo privilegiado abierto al público | Detecta cuándo se cambia un grupo de Google con privilegios (un grupo al que se han concedido roles o permisos sensibles) para que sea accesible al público en general. Para obtener más información, consulta Cambios no seguros en Grupos de Google. |
| Acceso a credenciales: rol sensible concedido a un grupo híbrido | Detecta si se conceden roles sensibles a un grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en Grupos de Google. |
| Evasión de defensas: modificar Controles de Servicio de VPC | Detecta un cambio en un perímetro de Controles de Servicio de VPC que provocaría una reducción de la protección que ofrece ese perímetro. |
| Discovery: Can get sensitive Kubernetes object checkPreview | Un agente malintencionado intentó determinar qué objetos sensibles de Google Kubernetes Engine (GKE) podía consultar mediante el comando kubectl auth can-i get. |
| Detección: autoinvestigación de cuentas de servicio | Detección de una credencial de cuenta de servicio de gestión de identidades y accesos (IAM) que se usa para investigar los roles y permisos asociados a esa misma cuenta de servicio. |
| Evasión: acceso del proxy anonimizador | Detección de Google Cloud modificaciones de servicios que se han originado en direcciones IP de proxy anónimas, como las direcciones IP de Tor. |
| Filtración externa: filtración externa de datos de BigQuery | Detecta las siguientes situaciones:
|
| Exfiltración: extracción de datos de BigQuery | Detecta las siguientes situaciones:
|
| Exfiltración: datos de BigQuery a Google Drive | Detecta las siguientes situaciones:
Un recurso de BigQuery propiedad de la organización protegida se guarda en una carpeta de Google Drive mediante operaciones de extracción. |
| Filtración externa: filtración externa de datos de Cloud SQL | Detecta las siguientes situaciones:
|
| Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa | Detecta cuándo se restaura la copia de seguridad de una instancia de Cloud SQL en una instancia que no pertenece a la organización. |
| Exfiltración: concesión de privilegios excesivos de SQL de Cloud SQL | Detecta cuándo se han concedido todos los privilegios a un usuario o rol de Cloud SQL Postgres en una base de datos o en todas las tablas, procedimientos o funciones de un esquema. |
| Desactivación de mecanismos de defensa: autenticación reforzada inhabilitada | Se ha inhabilitado la verificación en dos pasos en la organización. |
| Impair Defenses: Two Step Verification Disabled (Deterioro de las defensas: verificación en dos pasos inhabilitada) | Un usuario ha inhabilitado la verificación en dos pasos. |
| Acceso inicial: cuenta inhabilitada y hackeada | Se ha suspendido la cuenta de un usuario debido a una actividad sospechosa. |
| Acceso inicial: contraseña filtrada inhabilitada | La cuenta de un usuario se ha inhabilitado porque se ha detectado una filtración de contraseñas. |
| Acceso inicial: ataque respaldado por un gobierno | Es posible que atacantes respaldados por un gobierno hayan intentado vulnerar el ordenador o la cuenta de un usuario. |
| Acceso inicial: intento de vulneración de Log4j | Detecta búsquedas de Java Naming and Directory Interface (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos hallazgos tienen una gravedad baja, ya que solo indican una detección o un intento de explotación, no una vulnerabilidad ni una brecha de seguridad. |
| Acceso inicial: inicio de sesión sospechoso bloqueado | Se ha detectado y bloqueado un inicio de sesión sospechoso en la cuenta de un usuario. |
| Malware de Log4j: dominio incorrecto | Detección de tráfico de exploits de Log4j basado en una conexión o una búsqueda de un dominio conocido utilizado en ataques de Log4j. |
| Malware de Log4j: IP incorrecta | Detección de tráfico de exploits de Log4j basado en una conexión a una dirección IP conocida utilizada en ataques de Log4j. |
| Malware: dominio incorrecto | Detección de malware basada en una conexión o una búsqueda de un dominio incorrecto conocido. |
| Malware: IP incorrecta | Detección de malware basada en una conexión a una dirección IP dañina conocida. |
| Malware: dominio incorrecto de minería de criptomonedas | Detección de minería de criptomonedas basada en una conexión o una búsqueda de un dominio de minería de criptomonedas conocido. |
| Malware: IP incorrecta de minería de criptomonedas | Detección de minería de criptomonedas basada en una conexión a una dirección IP de minería conocida. |
| DoS saliente | Detección de tráfico de denegación de servicio saliente. |
| Persistencia: se ha añadido una clave SSH de administrador de Compute Engine | Detección de una modificación en el valor de la clave SSH de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad). |
| Persistencia: se ha añadido una secuencia de comandos de inicio de administrador de Compute Engine | Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad). |
| Persistencia: concesión anómala de gestión de identidades y accesos | Detección de privilegios concedidos a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Este detector usa las políticas de gestión de identidades y accesos de una organización como contexto. Si se produce una concesión de gestión de identidades y accesos sensible a un miembro externo y hay menos de tres políticas de gestión de identidades y accesos similares, este detector genera un resultado. |
| Persistencia: nuevo método de API Vista previa | Detección de un uso anómalo de los servicios de Google Cloud por parte de las cuentas de servicio de IAM. |
| Persistencia: nueva geografía | Detección de usuarios y cuentas de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, en función de la geolocalización de las direcciones IP que realizan las solicitudes. |
| Persistencia: nuevo user-agent | Detección de cuentas de servicio de gestión de identidades y accesos que acceden a Google Cloud desde agentes de usuario anómalos o sospechosos. |
| Persistencia: activación o desactivación del SSO | El ajuste Habilitar SSO (inicio de sesión único) de la cuenta de administrador se ha inhabilitado. |
| Persistencia: se ha cambiado la configuración de SSO | Se ha cambiado la configuración de SSO de la cuenta de administrador. |
| Apropiación de privilegios: cambios en objetos sensibles de RBAC de Kubernetes (vista previa) | Para elevar los privilegios, un agente malintencionado ha intentado modificar los objetos ClusterRole y ClusterRoleBinding cluster-admin mediante una solicitud PUT o PATCH. |
| Escalada de privilegios: crear una CSR de Kubernetes para la vista previa del certificado de la instancia maestra | Un actor potencialmente malicioso ha creado una solicitud de firma de certificado maestro de Kubernetes (CSR), lo que le da acceso de administrador de clúster. |
| Apropiación de privilegios: creación de enlaces de Kubernetes sensibles (vista previa) | Un agente malicioso ha intentado crear objetos RoleBinding o ClusterRoleBinding para aumentar sus privilegios. |
| Escalada de privilegios: obtener CSR de Kubernetes con credenciales de bootstrap comprometidasVista previa | Un agente malicioso ha consultado una solicitud de firma de certificado (CSR) con el comando kubectl mediante credenciales de arranque vulneradas. |
| Apropiación de privilegios: lanzamiento de un contenedor de Kubernetes con privilegios | Un agente malicioso ha creado pods que contienen contenedores con privilegios o contenedores con funciones de escalada de privilegios.
Un contenedor con privilegios tiene el campo "privileged" definido como "true". Un contenedor con funciones de apropiación de privilegios tiene el campo allowPrivilegeEscalation establecido en true. |
| Acceso inicial: se ha creado una clave de cuenta de servicio inactiva | Detecta eventos en los que se crea una clave para una cuenta de servicio gestionada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. |
| Árbol de procesos | El detector comprueba el árbol de procesos de todos los procesos en ejecución. Si un proceso es un archivo binario de shell, el detector comprueba su proceso principal. Si el proceso principal es un archivo binario que no debería generar un proceso de shell, el detector activa un resultado. |
| Shell secundario inesperado | El detector comprueba el árbol de procesos de todos los procesos en ejecución. Si un proceso es un archivo binario de shell, el detector comprueba su proceso principal. Si el proceso principal es un archivo binario que no debería generar un proceso de shell, el detector activa un resultado. |
| Ejecución: Added Malicious Binary Executed | El detector busca un archivo binario que se esté ejecutando y que no forme parte de la imagen de contenedor original. Además, lo identifica como malicioso en función de la información sobre amenazas. |
| Ejecución: se ha ejecutado un binario malicioso modificado | El detector busca un archivo binario que se esté ejecutando y que se haya incluido originalmente en la imagen del contenedor, pero que se haya modificado durante el tiempo de ejecución. Además, se ha identificado como malicioso en función de la información sobre amenazas. |
| Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para actividad de administrador | Detecta cuándo se encuentra una solicitud delegada anómala de varios pasos para una actividad administrativa. |
| Cuenta de acceso de emergencia usada: break_glass_account | Detecta el uso de una cuenta de acceso de emergencia |
| Dominio incorrecto configurable: APT29_Domains | Detecta una conexión a un nombre de dominio especificado. |
| Concesión de rol inesperada: roles prohibidos | Detecta cuándo se concede un rol específico a un usuario |
| IP incorrecta configurable | Detecta una conexión a una dirección IP especificada. |
| Tipo de instancia de Compute Engine inesperado | Detecta la creación de instancias de Compute Engine que no coinciden con un tipo o una configuración de instancia especificados. |
| Imagen de origen de Compute Engine inesperada | Detecta la creación de una instancia de Compute Engine con una imagen o una familia de imágenes que no coincide con una lista especificada |
| Región de Compute Engine inesperada | Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada. |
| Rol personalizado con permiso prohibido | Detecta cuándo se concede a una entidad principal un rol personalizado con alguno de los permisos de gestión de identidades y accesos especificados. |
| Llamada inesperada a la API de Cloud | Detecta cuándo una entidad de seguridad especificada llama a un método especificado en un recurso especificado. Una detección solo se genera si todas las expresiones regulares coinciden en una sola entrada de registro. |
Resultados de GCP_SECURITYCENTER_ERROR admitidos
Puedes consultar la asignación de UDM en la tabla Referencia de asignación de campos: ERROR.
| FindingName | Descripción |
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics no puede generar determinados resultados de un proyecto. El proyecto está protegido por un perímetro de servicio y la cuenta de servicio de Security Command Center no tiene acceso al perímetro. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging. |
| API_DISABLED | Una API obligatoria está inhabilitada en el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | No se puede habilitar Detección de amenazas de contenedores en el clúster porque no se puede extraer (descargar) una imagen de contenedor obligatoria de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para desplegar el DaemonSet de Container Threat Detection que requiere Container Threat Detection. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | No se puede habilitar Container Threat Detection en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection.
Cuando se ven en la Google Cloud consola, los detalles de la detección incluyen el mensaje de error que ha devuelto Google Kubernetes Engine cuando Container Threat Detection ha intentado implementar un objeto DaemonSet de Container Threat Detection. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A una cuenta de servicio le faltan permisos que requiere Detección de amenazas de contenedores. Es posible que Detección de amenazas en contenedores deje de funcionar correctamente porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection no puede generar resultados de un clúster de Google Kubernetes Engine porque faltan permisos en la cuenta de servicio predeterminada de GKE del clúster. De esta forma, no se podrá habilitar Container Threat Detection en el clúster. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A la cuenta de servicio de Security Command Center le faltan permisos necesarios para funcionar correctamente. No se producen hallazgos. |
Resultados de GCP_SECURITYCENTER_OBSERVATION compatibles
Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: OBSERVATION.
| FindingName | Descripción |
|---|---|
| Persistencia: se ha añadido una clave SSH de proyecto | Se ha creado una clave SSH a nivel de proyecto en un proyecto que tiene más de 10 días. |
| Persistencia: añadir rol sensible | Se ha concedido un rol de gestión de identidades y accesos sensible o con privilegios elevados a nivel de organización en una organización que tiene más de 10 días. |
Resultados de GCP_SECURITYCENTER_UNSPECIFIED compatibles
Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: UNSPECIFIED.
| FindingName | Descripción |
|---|---|
| OPEN_FIREWALL | Un cortafuegos está configurado para que esté abierto al acceso público. |
Resultados de GCP_SECURITYCENTER_VULNERABILITY compatibles
Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: VULNERABILITY.
| FindingName | Descripción |
|---|---|
| DISK_CSEK_DISABLED | Los discos de esta VM no están cifrados con claves de cifrado proporcionadas por el cliente (CSEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Detector de casos especiales. |
| ALPHA_CLUSTER_ENABLED | Las funciones de clúster alfa están habilitadas en un clúster de GKE. |
| AUTO_REPAIR_DISABLED | La función de reparación automática de un clúster de GKE, que mantiene los nodos en perfecto funcionamiento, está inhabilitada. |
| AUTO_UPGRADE_DISABLED | La función de actualización automática de un clúster de GKE, que mantiene los clústeres y los grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada. |
| CLUSTER_SHIELDED_NODES_DISABLED | Los nodos de GKE blindados no están habilitados en un clúster |
| COS_NOT_USED | Las VMs de Compute Engine no usan el sistema operativo Container-Optimized, que está diseñado para ejecutar contenedores Docker de forma Google Cloud segura. |
| INTEGRITY_MONITORING_DISABLED | La monitorización de integridad está inhabilitada en un clúster de GKE. |
| IP_ALIAS_DISABLED | Se ha creado un clúster de GKE con los intervalos de IP de alias inhabilitados. |
| LEGACY_METADATA_ENABLED | Los metadatos antiguos están habilitados en los clústeres de GKE. |
| RELEASE_CHANNEL_DISABLED | Un clúster de GKE no está suscrito a un canal de lanzamiento. |
| DATAPROC_IMAGE_OUTDATED | Se ha creado un clúster de Dataproc con una versión de imagen de Dataproc afectada por las vulnerabilidades de seguridad de la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046). |
| PUBLIC_DATASET | Un conjunto de datos está configurado para que se pueda acceder públicamente a él. |
| DNSSEC_DISABLED | DNSSEC está inhabilitado en las zonas de Cloud DNS. |
| RSASHA1_FOR_SIGNING | RSA-SHA1 se usa para la firma de claves en zonas de Cloud DNS. |
| REDIS_ROLE_USED_ON_ORG | Se asigna un rol de gestión de identidades y accesos de Redis a nivel de organización o de carpeta. |
| KMS_PUBLIC_KEY | Una clave criptográfica de Cloud KMS es de acceso público. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | La marca de base de datos de autenticación de base de datos contenida de una instancia de Cloud SQL para SQL Server no tiene el valor "off". |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | La marca de base de datos cross_db_ownership_chaining de una instancia de Cloud SQL para SQL Server no tiene el valor off. |
| SQL_EXTERNAL_SCRIPTS_ENABLED | La marca de base de datos external scripts enabled de una instancia de Cloud SQL para SQL Server no tiene el valor off. |
| SQL_LOCAL_INFILE | La marca de base de datos local_infile de una instancia de Cloud SQL para MySQL no tiene el valor off. |
| SQL_LOG_ERROR_VERBOSITY | La marca de base de datos log_error_verbosity de una instancia de Cloud SQL para PostgreSQL no tiene el valor predeterminado o un valor más estricto. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | La marca de base de datos log_min_duration_statement de una instancia de Cloud SQL para PostgreSQL no tiene el valor "-1". |
| SQL_LOG_MIN_ERROR_STATEMENT | La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene el valor adecuado. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado. |
| SQL_LOG_MIN_MESSAGES | La marca de base de datos log_min_messages de una instancia de Cloud SQL para PostgreSQL no tiene el valor warning. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | La marca de base de datos log_executor_status de una instancia de Cloud SQL para PostgreSQL no tiene el valor "off". |
| SQL_LOG_HOSTNAME_ENABLED | La marca de base de datos log_hostname de una instancia de Cloud SQL para PostgreSQL no tiene el valor off. |
| SQL_LOG_PARSER_STATS_ENABLED | La marca de base de datos log_parser_stats de una instancia de Cloud SQL para PostgreSQL no tiene el valor "off". |
| SQL_LOG_PLANNER_STATS_ENABLED | La marca de base de datos log_planner_stats de una instancia de Cloud SQL para PostgreSQL no está desactivada. |
| SQL_LOG_STATEMENT_STATS_ENABLED | La marca de base de datos log_statement_stats de una instancia de Cloud SQL para PostgreSQL no tiene el valor off. |
| SQL_LOG_TEMP_FILES | La marca de base de datos log_temp_files de una instancia de Cloud SQL para PostgreSQL no tiene el valor "0". |
| SQL_REMOTE_ACCESS_ENABLED | La marca de base de datos remote access de una instancia de Cloud SQL para SQL Server no tiene el valor off. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | La marca de base de datos skip_show_database de una instancia de Cloud SQL para MySQL no tiene el valor on. |
| SQL_TRACE_FLAG_3625 | La marca de base de datos 3625 (trace flag) de la instancia de Cloud SQL para SQL Server no tiene el valor On. |
| SQL_USER_CONNECTIONS_CONFIGURED | La marca de base de datos user connections de una instancia de Cloud SQL para SQL Server está configurada. |
| SQL_USER_OPTIONS_CONFIGURED | La marca de base de datos user options de una instancia de Cloud SQL para SQL Server está configurada. |
| SQL_WEAK_ROOT_PASSWORD | Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| PUBLIC_LOG_BUCKET | Se puede acceder públicamente a un segmento de almacenamiento que se utiliza como sumidero de registros. |
| ACCESSIBLE_GIT_REPOSITORY | Se expone públicamente un repositorio de Git. Para solucionar este problema, retira el acceso público no intencionado al repositorio de GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Un repositorio SVN está expuesto públicamente. Para solucionar este problema, retira el acceso público no intencionado al repositorio SVN. |
| ACCESSIBLE_ENV_FILE | Un archivo ENV está expuesto públicamente. Para solucionar este problema, retira el acceso público no intencional al archivo ENV. |
| CACHEABLE_PASSWORD_INPUT | Las contraseñas introducidas en la aplicación web se pueden almacenar en caché en la caché normal del navegador en lugar de en un almacenamiento de contraseñas seguro. |
| CLEAR_TEXT_PASSWORD | Las contraseñas se transmiten sin cifrar y se pueden interceptar. Para solucionar este problema, cifra la contraseña transmitida a través de la red. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Un endpoint HTTP o HTTPS entre sitios solo valida un sufijo del encabezado de solicitud Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para solucionar este problema, valide que el dominio raíz esperado forma parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. En el caso de las comodines de subdominio, añade un punto antes del dominio raíz (por ejemplo, .endsWith("".google.com"")). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Un endpoint HTTP o HTTPS entre sitios solo valida un prefijo del encabezado de solicitud Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para resolver este problema, comprueba que el dominio esperado coincide completamente con el valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin (por ejemplo, .equals("".google.com"")). |
| INVALID_CONTENT_TYPE | Se ha cargado un recurso que no coincide con el encabezado HTTP content‑type de la respuesta. Para resolver este problema, asigne el valor correcto al encabezado HTTP X-Content-Type-Options. |
| INVALID_HEADER | Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para resolver este problema, defina los encabezados de seguridad HTTP correctamente. |
| MISMATCHING_SECURITY_HEADER_VALUES | Un encabezado de seguridad tiene valores duplicados que no coinciden, lo que da lugar a un comportamiento indefinido. Para resolver este problema, defina los encabezados de seguridad HTTP correctamente. |
| MISSPELLED_SECURITY_HEADER_NAME | Un encabezado de seguridad está mal escrito y se ignora. Para resolver este problema, defina los encabezados de seguridad HTTP correctamente. |
| MIXED_CONTENT | Los recursos se sirven a través de HTTP en una página HTTPS. Para solucionar este problema, asegúrate de que todos los recursos se sirven a través de HTTPS. |
| OUTDATED_LIBRARY | Se ha detectado una biblioteca que tiene vulnerabilidades conocidas. Para resolver este problema, actualiza las bibliotecas a una versión más reciente. |
| SERVER_SIDE_REQUEST_FORGERY | Se ha detectado una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). Para solucionar este problema, usa una lista de permitidos para limitar los dominios y las direcciones IP a los que puede enviar solicitudes la aplicación web. |
| SESSION_ID_LEAK | Cuando se hace una solicitud entre dominios, la aplicación web incluye el identificador de sesión del usuario en el encabezado de solicitud Referer. Esta vulnerabilidad da al dominio receptor acceso al identificador de sesión, que se puede usar para suplantar la identidad del usuario o identificarlo de forma única. |
| SQL_INJECTION | Se ha detectado una posible vulnerabilidad de inyección de SQL. Para solucionar este problema, usa consultas con parámetros para evitar que las entradas de los usuarios influyan en la estructura de la consulta de SQL. |
| STRUTS_INSECURE_DESERIALIZATION | Se ha detectado el uso de una versión vulnerable de Apache Struts. Para resolver este problema, actualiza Apache Struts a la versión más reciente. |
| XSS | Un campo de esta aplicación web es vulnerable a un ataque de cross-site scripting (XSS). Para solucionar este problema, valida y añade caracteres de escape a los datos introducidos por usuarios en los que no confíes. |
| XSS_ANGULAR_CALLBACK | No se ha aplicado un escape a una cadena proporcionada por el usuario y AngularJS puede interpolarla. Para solucionar este problema, valida y añade caracteres de escape a los datos introducidos por usuarios en los que no confías gestionados por el framework Angular. |
| XSS_ERROR | Un campo de esta aplicación web es vulnerable a un ataque de cross-site scripting. Para solucionar este problema, valida y añade caracteres de escape a los datos introducidos por usuarios en los que no confíes. |
| XXE_REFLECTED_FILE_LEAKAGE | Se ha detectado una vulnerabilidad de entidad externa XML (XXE). Esta vulnerabilidad puede provocar que la aplicación web filtre un archivo en el host. Para resolver este problema, configure sus analizadores XML para que no permitan entidades externas. |
| BASIC_AUTHENTICATION_ENABLED | En los clústeres de Kubernetes debes habilitar la autenticación mediante el certificado de cliente o la gestión de identidades y accesos. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Los clústeres de Kubernetes deben crearse con la opción Certificado de cliente habilitada. |
| LABELS_NOT_USED | Las etiquetas se pueden usar para desglosar datos de facturación. |
| PUBLIC_STORAGE_OBJECT | La LCA de objeto de almacenamiento no debe otorgar acceso a allUsers. |
| SQL_BROAD_ROOT_LOGIN | El acceso raíz a la base de datos de SQL debe limitarse a las IPs de confianza incluidas en la lista de admitidas. |
| WEAK_CREDENTIALS | Este detector busca credenciales poco seguras mediante métodos de fuerza bruta de ncrack.
Servicios admitidos: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM y DICOM |
| ELASTICSEARCH_API_EXPOSED | La API de Elasticsearch permite a los llamantes realizar consultas arbitrarias, escribir y ejecutar secuencias de comandos, y añadir documentos adicionales al servicio. |
| EXPOSED_GRAFANA_ENDPOINT | En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un endpoint que tiene una vulnerabilidad de recorrido de directorios que permite a cualquier usuario leer cualquier archivo del servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. |
| EXPOSED_METABASE | Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y una posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de cargarse. Para obtener más información, consulta CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Este detector comprueba si se exponen los endpoints de Actuator sensibles de las aplicaciones Spring Boot. Algunos de los endpoints predeterminados, como /heapdump, pueden exponer información sensible. Otros endpoints, como /env, pueden provocar la ejecución remota de código. Actualmente, solo se comprueba /heapdump. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Este detector comprueba si la API ResourceManager de Hadoop Yarn, que controla los recursos de computación y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código sin autenticar. |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension (JMX) permite la monitorización y el diagnóstico remotos de aplicaciones Java. Ejecutar JMX con un endpoint de invocación de método remoto sin protección permite que cualquier usuario remoto cree un MBean javax.management.loading.MLet y lo use para crear nuevos MBeans a partir de URLs arbitrarias. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Este detector comprueba si se ha expuesto un cuaderno de Jupyter sin autenticar. Jupyter permite la ejecución de código remoto en el host por diseño. Un cuaderno de Jupyter sin autenticar pone en riesgo la máquina virtual de alojamiento, ya que se puede ejecutar código de forma remota. |
| KUBERNETES_API_EXPOSED | La API de Kubernetes está expuesta y los llamantes no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Este detector comprueba si una instalación de WordPress está incompleta. Una instalación de WordPress incompleta expone la página /wp-admin/install.php, que permite al atacante definir la contraseña de administrador y, posiblemente, poner en peligro el sistema. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Este detector comprueba si hay una instancia de Jenkins sin autenticar enviando un ping de prueba al endpoint /view/all/newJob como visitante anónimo. Una instancia de Jenkins autenticada muestra el formulario createItem, que permite crear trabajos arbitrarios que podrían provocar la ejecución de código remoto. |
| APACHE_HTTPD_RCE | Se ha detectado un fallo en Apache HTTP Server 2.4.49 que permite a un atacante usar un ataque de recorrido de ruta para asignar URLs a archivos que están fuera de la raíz de documento esperada y ver el origen de los archivos interpretados, como las secuencias de comandos CGI. Se sabe que este problema se está aprovechando en el entorno real. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: |
| APACHE_HTTPD_SSRF | Los atacantes pueden crear un URI para el servidor web Apache que haga que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el atacante. Este problema afecta al servidor HTTP Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: |
| CONSUL_RCE | Los atacantes pueden ejecutar código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks definido como true y la API HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las comprobaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Proteger Consul frente al riesgo de ejecución remota de código en configuraciones específicas. Para comprobar si existe esta vulnerabilidad, Detección Rápida de Vulnerabilidades registra un servicio en la instancia de Consul mediante el endpoint REST /v1/health/service, que ejecuta una de las siguientes acciones: * Un comando curl a un servidor remoto fuera de la red. Un atacante puede usar el comando curl para extraer datos del servidor. * Un comando printf. A continuación, Detección rápida de vulnerabilidades verifica la salida del comando mediante el endpoint REST /v1/health/service. * Después de la comprobación, la detección rápida de vulnerabilidades limpia y anula el registro del servicio mediante el endpoint REST /v1/agent/service/deregister/. |
| DRUID_RCE | Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario insertado en varios tipos de solicitudes. Esta función está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, un usuario autenticado puede enviar una solicitud especialmente diseñada que obligue a Druid a ejecutar código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor Druid. Para obtener más información, consulta Detalles de CVE-2021-25646. |
| DRUPAL_RCE | Las versiones de Drupal anteriores a la 7.58, 8.x anteriores a la 8.3.9, 8.4.x anteriores a la 8.4.6 y 8.5.x anteriores a la 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de la API de formularios. Las versiones 8.5.x anteriores a la 8.5.11 y 8.6.x anteriores a la 8.6.10 de Drupal son vulnerables a la ejecución de código remoto cuando se habilita el módulo de servicio web RESTful o JSON:API. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada. |
| FLINK_FILE_DISCLOSURE | Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite a los atacantes leer cualquier archivo del sistema de archivos local de JobManager a través de la interfaz REST del proceso JobManager. El acceso se restringe a los archivos a los que puede acceder el proceso JobManager. |
| GITLAB_RCE | En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida correctamente los archivos de imagen que se transfieren a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos de forma remota. |
| GoCD_RCE | En GoCD 21.2.0 y versiones anteriores, hay un endpoint al que se puede acceder sin autenticación. Este endpoint tiene una vulnerabilidad de recorrido de directorios que permite a un usuario leer cualquier archivo del servidor sin autenticación. |
| JENKINS_RCE | Las versiones de Jenkins 2.56 y anteriores, así como 2.46.1 LTS y anteriores, son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede activar esta vulnerabilidad mediante un objeto Java serializado malicioso. |
| JOOMLA_RCE | Las versiones 1.5.x, 2.x y 3.x de Joomla anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar con una cabecera manipulada que contenga objetos PHP serializados. Las versiones de Joomla de la 3.0.0 a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar enviando una solicitud POST que contenga un objeto PHP serializado manipulado. |
| LOG4J_RCE | En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se utilizan en configuraciones, mensajes de registro y parámetros no protegen frente a LDAP controlado por atacantes y otros endpoints relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT hasta la versión 2.3.0 permite restablecer contraseñas arbitrarias y acceder como administrador sin autenticar proporcionando un valor confirm_hash vacío a verify.php. |
| OGNL_RCE | Las instancias de Confluence Server y Data Center contienen una vulnerabilidad de inyección de OGNL que permite a un atacante no autenticado ejecutar código arbitrario. Para obtener más información, consulta CVE-2021-26084. |
| OPENAM_RCE | El servidor OpenAM 14.6.2 y versiones anteriores, y el servidor ForgeRock AM 6.5.3 y versiones anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession de varias páginas. La explotación no requiere autenticación y la ejecución de código remoto se puede activar enviando una sola solicitud /ccversion/* diseñada al servidor. La vulnerabilidad se debe al uso de Sun ONE Application. Para obtener más información, consulta CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede aprovechar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro un servidor Oracle WebLogic. Si los ataques a esta vulnerabilidad tienen éxito, se puede tomar el control de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882. |
| PHPUNIT_RCE | Las versiones de PHPUnit anteriores a la 5.6.3 permiten la ejecución de código remoto con una sola solicitud POST sin autenticar. |
| PHP_CGI_RCE | Las versiones de PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como un script CGI, permiten la ejecución remota de código. El código vulnerable no gestiona correctamente las cadenas de consulta que no tienen el carácter = (signo igual). Esto permite a los atacantes añadir opciones de línea de comandos que se ejecutan en el servidor. |
| PORTAL_RCE | La deserialización de datos no fiables en versiones de Liferay Portal anteriores a 7.2.1 CE GA2 permite a atacantes remotos ejecutar código arbitrario a través de servicios web JSON. |
| REDIS_RCE | Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, los atacantes podrían ejecutar código arbitrario. |
| SOLR_FILE_EXPOSED | La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Si Apache Solr no requiere autenticación, un atacante puede crear directamente una solicitud para habilitar una configuración específica y, finalmente, implementar una falsificación de solicitudes del lado del servidor (SSRF) o leer archivos arbitrarios. |
| SOLR_RCE | Las versiones de Apache Solr de la 5.0.0 a la 8.3.1 son vulnerables a la ejecución de código remoto a través de VelocityResponseWriter si params.resource.loader.enabled se define como true. Esto permite a los atacantes crear un parámetro que contenga una plantilla de Velocity maliciosa. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Las versiones 9.x anteriores a 9.0.31, 8.x anteriores a 8.5.51, 7.x anteriores a 7.0.100 y todas las versiones 6.x de Apache Tomcat son vulnerables a la divulgación del código fuente y de la configuración a través de un conector del protocolo JServ de Apache expuesto. En algunos casos, se aprovecha para ejecutar código de forma remota si se permite la subida de archivos. |
| VBULLETIN_RCE | Los servidores vBulletin que ejecutan versiones de la 5.0.0 a la 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud de cadena de ruta. |
| VCENTER_RCE | Las versiones 7.x de VMware vCenter Server anteriores a la 7.0 U1c, las versiones 6.7 anteriores a la 6.7 U3l y las versiones 6.5 anteriores a la 6.5 U3n son vulnerables a la ejecución remota de código. Un atacante puede activar esta vulnerabilidad subiendo un archivo Java Server Pages manipulado a un directorio accesible a través de la Web y, a continuación, activando la ejecución de ese archivo. |
| WEBLOGIC_RCE | Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. |
| OS_VULNERABILITY | VM Manager ha detectado una vulnerabilidad en el paquete del sistema operativo (SO) instalado en una VM de Compute Engine. |
| UNUSED_IAM_ROLE | El recomendador de IAM ha detectado una cuenta de usuario que tiene un rol de IAM que no se ha usado en los últimos 90 días. |
| GKE_RUNTIME_OS_VULNERABILITY | GKE analiza continuamente las imágenes de contenedor que se ejecutan en clústeres de GKE registrados para detectar vulnerabilidades. GKE usa datos de vulnerabilidades de bases de datos públicas de CVEs, como NIST. Aunque GKE puede analizar imágenes de cualquier registro, la versión del SO debe ser compatible. Para ver una lista de los sistemas operativos compatibles, consulta Versiones de Linux compatibles. |
| GKE_SECURITY_BULLETIN | Cuando se descubre una vulnerabilidad en GKE, se publica un boletín de seguridad después de que se haya corregido. Para obtener información detallada sobre el proceso y los plazos de aplicación de parches de vulnerabilidades, consulta Aplicación de parches de seguridad de GKE. |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | El recomendador de IAM ha detectado que el rol de IAM predeterminado original que se concedía a un agente de servicio se ha sustituido por uno de los roles básicos de IAM: propietario, editor o lector. Los roles básicos son roles antiguos excesivamente permisivos y no se deben asignar a agentes de servicio. |
Resultados de GCP_SECURITYCENTER_MISCONFIGURATION admitidos
Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: MISCONFIGURATION.
| FindingName | Descripción |
|---|---|
| API_KEY_APIS_UNRESTRICTED | Se están usando claves de API de forma demasiado generalizada. Para solucionar este problema, limita el uso de la clave de API para permitir solo las APIs que necesite la aplicación. |
| API_KEY_APPS_UNRESTRICTED | Se están usando claves de API sin restricciones, lo que permite que las use cualquier aplicación que no sea de confianza |
| API_KEY_EXISTS | Un proyecto usa claves de API en lugar de la autenticación estándar. |
| API_KEY_NOT_ROTATED | La clave de API no se ha rotado en más de 90 días |
| PUBLIC_COMPUTE_IMAGE | Una imagen de Compute Engine es de acceso público. |
| CONFIDENTIAL_COMPUTING_DISABLED | Confidential Computing está inhabilitado en una instancia de Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | Se usan claves SSH de todo el proyecto, lo que permite iniciar sesión en todas las instancias del proyecto. |
| COMPUTE_SECURE_BOOT_DISABLED | Esta VM blindada no tiene habilitado el arranque seguro. El arranque seguro te ayuda a proteger las instancias de máquinas virtuales frente a amenazas avanzadas, como rootkits y bootkits. |
| DEFAULT_SERVICE_ACCOUNT_USED | Una instancia está configurada para usar la cuenta de servicio predeterminada. |
| FULL_API_ACCESS | Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. |
| OS_LOGIN_DISABLED | OS Login está inhabilitado en esta instancia. |
| PUBLIC_IP_ADDRESS | Una instancia tiene una dirección IP pública. |
| SHIELDED_VM_DISABLED | VM blindada está inhabilitada en esta instancia. |
| COMPUTE_SERIAL_PORTS_ENABLED | Los puertos serie están habilitados en una instancia, lo que permite establecer conexiones con la consola en serie de la instancia. |
| DISK_CMEK_DISABLED | Los discos de esta VM no están cifrados con claves de cifrado gestionadas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| HTTP_LOAD_BALANCER | Una instancia usa un balanceador de carga configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. |
| IP_FORWARDING_ENABLED | El reenvío de IP está habilitado en las instancias. |
| WEAK_SSL_POLICY | Una instancia tiene una política de SSL poco segura. |
| BINARY_AUTHORIZATION_DISABLED | La autorización binaria está inhabilitada en un clúster de GKE. |
| CLUSTER_LOGGING_DISABLED | El registro no está habilitado en un clúster de GKE. |
| CLUSTER_MONITORING_DISABLED | La monitorización está inhabilitada en los clústeres de GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Los hosts del clúster no están configurados para usar solo direcciones IP internas privadas para acceder a las APIs de Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | El encriptado de secretos de la capa de aplicación está inhabilitado en un clúster de GKE. |
| INTRANODE_VISIBILITY_DISABLED | La visibilidad intranodo está inhabilitada en un clúster de GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. |
| NETWORK_POLICY_DISABLED | La política de red está inhabilitada en los clústeres de GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | El arranque seguro está inhabilitado en un clúster de GKE. |
| OVER_PRIVILEGED_ACCOUNT | Una cuenta de servicio tiene un acceso al proyecto demasiado amplio en un clúster. |
| OVER_PRIVILEGED_SCOPES | Una cuenta de servicio de nodo tiene permisos de acceso amplios. |
| POD_SECURITY_POLICY_DISABLED | PodSecurityPolicy está inhabilitado en un clúster de GKE. |
| PRIVATE_CLUSTER_DISABLED | Un clúster de GKE tiene la opción Clúster privado inhabilitada. |
| WORKLOAD_IDENTITY_DISABLED | Un clúster de GKE no está suscrito a un canal de lanzamiento. |
| LEGACY_AUTHORIZATION_ENABLED | La autorización antigua está habilitada en los clústeres de GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | Los discos de arranque de este grupo de nodos no están cifrados con claves de cifrado gestionadas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| WEB_UI_ENABLED | La interfaz web (panel de control) de GKE está habilitada. |
| AUTO_REPAIR_DISABLED | La función de reparación automática de un clúster de GKE, que mantiene los nodos en perfecto funcionamiento, está inhabilitada. |
| AUTO_UPGRADE_DISABLED | La función de actualización automática de un clúster de GKE, que mantiene los clústeres y los grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada. |
| CLUSTER_SHIELDED_NODES_DISABLED | Los nodos de GKE blindados no están habilitados en un clúster |
| RELEASE_CHANNEL_DISABLED | Un clúster de GKE no está suscrito a un canal de lanzamiento. |
| BIGQUERY_TABLE_CMEK_DISABLED | Una tabla de BigQuery no está configurada para usar una clave de cifrado gestionada por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. |
| DATASET_CMEK_DISABLED | Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere una configuración adicional para habilitarse. |
| EGRESS_DENY_RULE_NOT_SET | No se ha definido una regla de denegación de salida en un cortafuegos. Se deben configurar reglas de denegación de salida para bloquear el tráfico de salida no deseado. |
| FIREWALL_RULE_LOGGING_DISABLED | El registro de reglas de cortafuegos está inhabilitado. El registro de reglas de cortafuegos debe estar habilitado para poder auditar el acceso a la red. |
| OPEN_CASSANDRA_PORT | Un cortafuegos está configurado para tener un puerto de Cassandra abierto que permita el acceso genérico. |
| OPEN_SMTP_PORT | Un cortafuegos está configurado para tener un puerto SMTP abierto que permita el acceso genérico. |
| OPEN_REDIS_PORT | Un cortafuegos está configurado para tener un puerto REDIS abierto que permita el acceso genérico. |
| OPEN_POSTGRESQL_PORT | Un cortafuegos está configurado para tener un puerto de PostgreSQL abierto que permita el acceso genérico. |
| OPEN_POP3_PORT | Un cortafuegos está configurado para tener un puerto POP3 abierto que permita el acceso genérico. |
| OPEN_ORACLEDB_PORT | Un cortafuegos está configurado para tener un puerto NETBIOS abierto que permita el acceso genérico. |
| OPEN_NETBIOS_PORT | Un cortafuegos está configurado para tener un puerto NETBIOS abierto que permita el acceso genérico. |
| OPEN_MYSQL_PORT | Un cortafuegos está configurado para tener un puerto MySQL abierto que permita el acceso genérico. |
| OPEN_MONGODB_PORT | Un cortafuegos está configurado para tener un puerto MONGODB abierto que permita el acceso genérico. |
| OPEN_MEMCACHED_PORT | Un cortafuegos está configurado para tener un puerto MEMCACHED abierto que permita el acceso genérico. |
| OPEN_LDAP_PORT | Un cortafuegos está configurado para tener un puerto LDAP abierto que permita el acceso genérico. |
| OPEN_FTP_PORT | Un cortafuegos está configurado para tener un puerto FTP abierto que permita el acceso genérico. |
| OPEN_ELASTICSEARCH_PORT | Un cortafuegos está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico. |
| OPEN_DNS_PORT | Un cortafuegos está configurado para tener un puerto DNS abierto que permita el acceso genérico. |
| OPEN_HTTP_PORT | Un cortafuegos está configurado para tener un puerto HTTP abierto que permita el acceso genérico. |
| OPEN_DIRECTORY_SERVICES_PORT | Un cortafuegos está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. |
| OPEN_CISCOSECURE_WEBSM_PORT | Un cortafuegos está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico. |
| OPEN_RDP_PORT | Un cortafuegos está configurado para tener un puerto RDP abierto que permita el acceso genérico. |
| OPEN_TELNET_PORT | Un cortafuegos está configurado para tener un puerto TELNET abierto que permita el acceso genérico. |
| OPEN_FIREWALL | Un cortafuegos está configurado para que esté abierto al acceso público. |
| OPEN_SSH_PORT | Un cortafuegos está configurado para tener un puerto SSH abierto que permita el acceso genérico. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | Se ha asignado a un usuario los roles Administrador de cuenta de servicio y Usuario de cuenta de servicio. Esto infringe el principio de separación de funciones. |
| NON_ORG_IAM_MEMBER | Hay un usuario que no utiliza credenciales de la organización. Según CIS Google Cloud Foundations 1.0, actualmente, solo las identidades con direcciones de correo @gmail.com activan este detector. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Un usuario tiene el rol Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica. |
| ADMIN_SERVICE_ACCOUNT | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no deben asignarse a cuentas de servicio creadas por usuarios. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | Una clave de cuenta de servicio no se ha rotado en más de 90 días. |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | Un usuario gestiona una clave de cuenta de servicio. |
| PRIMITIVE_ROLES_USED | Un usuario tiene el rol básico Propietario, Editor o Lector. Estos roles son demasiado permisivos y no se deben usar. |
| KMS_ROLE_SEPARATION | No se aplica la separación de tareas y hay un usuario que tiene al mismo tiempo alguno de los siguientes roles de Cloud Key Management Service (Cloud KMS): Encargado del encriptado y desencriptado de la clave criptográfica, Encargado del encriptado o Encargado del desencriptado. |
| OPEN_GROUP_IAM_MEMBER | Se usa una cuenta de Grupos de Google a la que se puede unir sin aprobación como principal de una política de gestión de identidades y accesos. |
| KMS_KEY_NOT_ROTATED | La rotación no está configurada en una clave de cifrado de Cloud KMS. Las claves se deben rotar en un periodo de 90 días. |
| KMS_PROJECT_HAS_OWNER | Un usuario tiene permisos de propietario en un proyecto que tiene claves criptográficas. |
| TOO_MANY_KMS_USERS | Hay más de tres usuarios de claves criptográficas. |
| OBJECT_VERSIONING_DISABLED | La gestión de versiones de objetos no está habilitada en un segmento de almacenamiento en el que se han configurado receptores. |
| LOCKED_RETENTION_POLICY_NOT_SET | No se ha definido una política de retención bloqueada para los registros. |
| BUCKET_LOGGING_DISABLED | Hay un segmento de almacenamiento sin el registro habilitado. |
| LOG_NOT_EXPORTED | Hay un recurso que no tiene configurado un sumidero de registros adecuado. |
| AUDIT_LOGGING_DISABLED | El registro de auditoría se ha inhabilitado en este recurso. |
| MFA_NOT_ENFORCED | Hay usuarios que no usan la verificación en dos pasos. |
| ROUTE_NOT_MONITORED | No se han configurado métricas de registro ni alertas para monitorizar los cambios en las rutas de redes de VPC. |
| OWNER_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar las asignaciones o los cambios de propiedad del proyecto. |
| AUDIT_CONFIG_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la configuración de auditorías. |
| BUCKET_IAM_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en los permisos de gestión de identidades y accesos de Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en los roles personalizados. |
| FIREWALL_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las reglas de cortafuegos de redes de nube privada virtual (VPC). |
| NETWORK_NOT_MONITORED | No se han configurado métricas de registro ni alertas para monitorizar los cambios en la red de VPC. |
| SQL_INSTANCE_NOT_MONITORED | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la configuración de las instancias de Cloud SQL. |
| DEFAULT_NETWORK | La red predeterminada existe en un proyecto. |
| DNS_LOGGING_DISABLED | El almacenamiento de registros de DNS en una red de VPC no está habilitado. |
| PUBSUB_CMEK_DISABLED | Un tema de Pub/Sub no está encriptado con claves de encriptado gestionadas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| PUBLIC_SQL_INSTANCE | Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. |
| SSL_NOT_ENFORCED | Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes utilicen SSL. |
| AUTO_BACKUP_DISABLED | No se han habilitado las copias de seguridad automáticas de una base de datos de Cloud SQL. |
| SQL_CMEK_DISABLED | Una instancia de base de datos SQL no está cifrada con claves de cifrado gestionadas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| SQL_LOG_CHECKPOINTS_DISABLED | La marca de base de datos log_checkpoints de una instancia de Cloud SQL para PostgreSQL no tiene el valor On. |
| SQL_LOG_CONNECTIONS_DISABLED | La marca de base de datos log_connections de una instancia de Cloud SQL para PostgreSQL no tiene el valor On. |
| SQL_LOG_DISCONNECTIONS_DISABLED | La marca de base de datos log_disconnections de una instancia de Cloud SQL para PostgreSQL no tiene el valor on. |
| SQL_LOG_DURATION_DISABLED | La marca de base de datos log_duration de una instancia de Cloud SQL para PostgreSQL no tiene el valor on. |
| SQL_LOG_LOCK_WAITS_DISABLED | La marca de base de datos log_lock_waits de una instancia de Cloud SQL para PostgreSQL no tiene el valor on. |
| SQL_LOG_STATEMENT | La marca de base de datos log_statement de una instancia de Cloud SQL para PostgreSQL no tiene el valor Ddl (todas las instrucciones de definición de datos). |
| SQL_NO_ROOT_PASSWORD | Una base de datos de Cloud SQL no tiene configurada una contraseña para la cuenta raíz. Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| SQL_PUBLIC_IP | Una base de datos de Cloud SQL tiene una dirección IP pública. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | La marca de base de datos de autenticación de base de datos contenida de una instancia de Cloud SQL para SQL Server no tiene el valor "off". |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | La marca de base de datos cross_db_ownership_chaining de una instancia de Cloud SQL para SQL Server no tiene el valor off. |
| SQL_LOCAL_INFILE | La marca de base de datos local_infile de una instancia de Cloud SQL para MySQL no tiene el valor off. |
| SQL_LOG_MIN_ERROR_STATEMENT | La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene el valor adecuado. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado. |
| SQL_LOG_TEMP_FILES | La marca de base de datos log_temp_files de una instancia de Cloud SQL para PostgreSQL no tiene el valor "0". |
| SQL_REMOTE_ACCESS_ENABLED | La marca de base de datos remote access de una instancia de Cloud SQL para SQL Server no tiene el valor off. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | La marca de base de datos skip_show_database de una instancia de Cloud SQL para MySQL no tiene el valor on. |
| SQL_TRACE_FLAG_3625 | La marca de base de datos 3625 (trace flag) de la instancia de Cloud SQL para SQL Server no tiene el valor On. |
| SQL_USER_CONNECTIONS_CONFIGURED | La marca de base de datos user connections de una instancia de Cloud SQL para SQL Server está configurada. |
| SQL_USER_OPTIONS_CONFIGURED | La marca de base de datos user options de una instancia de Cloud SQL para SQL Server está configurada. |
| PUBLIC_BUCKET_ACL | Se puede acceder públicamente a un segmento de Cloud Storage. |
| BUCKET_POLICY_ONLY_DISABLED | El acceso uniforme a nivel de segmento, antes llamado "Solo política del segmento", no está configurado. |
| BUCKET_CMEK_DISABLED | Un segmento no está encriptado con claves de encriptado gestionadas por el cliente (CMEK). Este detector requiere una configuración adicional para habilitarse. Para obtener instrucciones, consulta Habilitar e inhabilitar detectores. |
| FLOW_LOGS_DISABLED | Hay una subred de VPC que tiene inhabilitados los registros de flujo. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Hay subredes privadas sin acceso a las APIs públicas de Google. |
| kms_key_region_europe | Debido a la política de la empresa, todas las claves de cifrado deben almacenarse en Europa. |
| kms_non_euro_region | Debido a la política de la empresa, todas las claves de cifrado deben almacenarse en Europa. |
| LEGACY_NETWORK | Hay una red antigua en un proyecto. |
| LOAD_BALANCER_LOGGING_DISABLED | El registro está inhabilitado en el balanceador de carga. |
Resultados de GCP_SECURITYCENTER_POSTURE_VIOLATION admitidos
Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: INFRACCIÓN DE POSTURA.
| FindingName | Descripción |
|---|---|
| SECURITY_POSTURE_DRIFT | Desviación de las políticas definidas en la postura de seguridad. El servicio de postura de seguridad lo detecta. |
| SECURITY_POSTURE_POLICY_DRIFT | El servicio de postura de seguridad ha detectado un cambio en una política de la organización que se ha producido fuera de una actualización de la postura. |
| SECURITY_POSTURE_POLICY_DELETE | El servicio de postura de seguridad ha detectado que se ha eliminado una política de la organización. Esta eliminación se ha producido fuera de una actualización de postura. |
| SECURITY_POSTURE_DETECTOR_DRIFT | El servicio de postura de seguridad ha detectado un cambio en un detector de Security Health Analytics que se ha producido fuera de una actualización de la postura. |
| SECURITY_POSTURE_DETECTOR_DELETE | El servicio de postura de seguridad ha detectado que se ha eliminado un módulo personalizado de Security Health Analytics. Esta eliminación se ha producido fuera de una actualización de postura. |
Formatos de registro admitidos en el Centro de Seguridad
El analizador de Security Center admite registros en formato JSON.
Registros de ejemplo de Security Center admitidos
Registros de ejemplo de GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Registros de ejemplo de GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Registros de ejemplo de GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Registros de ejemplo de GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Registros de ejemplo de GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }Registros de ejemplo de GCP_SECURITYCENTER_UNSPECIFIED
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Referencia de asignación de campos
En esta sección se explica cómo asigna el analizador de Google Security Operations los campos de registro de Security Command Center a los campos del modelo de datos unificado (UDM) de Google Security Operations para los conjuntos de datos.
Referencia de la asignación de campos: campos de registro sin procesar a campos de UDM
En la siguiente tabla se indican los campos de registro y las asignaciones de UDM correspondientes a los resultados de Event Threat Detection de Security Command Center.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleta) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleta) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleta) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleta) |
Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM additional.fields.value.string_value. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleta) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleta) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleta) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleta) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Si el valor del campo de registro message coincide con el patrón de expresión regular kubernetes, el campo de UDM target.resource_ancestors.resource_type se asigna a CLUSTER.De lo contrario, si el valor del campo de registro message coincide con la expresión regular kubernetes.*?pods, el campo de UDM target.resource_ancestors.resource_type se asigna a POD. |
|
about.resource.attribute.cloud.environment |
El campo about.resource.attribute.cloud.environment de UDM tiene el valor GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo de UDM extension.auth.type se asigna a SSO. |
|
extension.mechanism |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de UDM extension.mechanism se asigna a USERNAME_PASSWORD. |
|
extensions.auth.type |
Si el valor del campo de registro principal.user.user_authentication_status es igual a ACTIVE, el campo de UDM extensions.auth.type se asigna a SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleta) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleta) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleta) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleta) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleta) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleta) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleta) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.loadBalancerName se asigna al campo de UDM intermediary.resource.name. |
|
intermediary.resource.resource_type |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de UDM intermediary.resource.resource_type se asigna a BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si el valor del campo de registro canonicalName no está vacío, se extrae el finding_id del campo de registro canonicalName mediante un patrón Grok.Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de UDM metadata.product_log_id.Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de UDM metadata.product_log_id. |
|
metadata.product_name |
El campo metadata.product_name de UDM tiene el valor Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
El campo metadata.vendor_name de UDM tiene el valor Google. |
|
network.application_protocol |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de UDM network.application_protocol se define como DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.asn se asigna al campo de UDM network.asn. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.carrierName se asigna al campo de UDM network.carrier_name. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain se asigna al campo de UDM network.dns_domain. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass se asigna al campo de UDM network.dns.answers.class. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Si el valor del campo de registro category coincide con la expresión regular Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue se asigna al campo de UDM network.dns.answers.data. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.domainName se asigna al campo de UDM network.dns.answers.name. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.ttl se asigna al campo de UDM network.dns.answers.ttl. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseType se asigna al campo de UDM network.dns.answers.type. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.authAnswer se asigna al campo de UDM network.dns.authoritative. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryName se asigna al campo de UDM network.dns.questions.name. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryType se asigna al campo de UDM network.dns.questions.type. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseCode se asigna al campo de UDM network.dns.response_code. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent se asigna al campo de UDM network.http.user_agent. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.callerUserAgent se asigna al campo de UDM network.http.user_agent. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent se asigna al campo de UDM network.http.user_agent. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de UDM network.ip_protocol se asigna a uno de los siguientes valores:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.organizationName se asigna al campo de UDM network.organization_name. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod se asigna al campo de UDM network.session_duration. |
sourceProperties.properties.sourceIp |
principal.ip |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.sourceIp se asigna al campo de UDM principal.ip. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo de UDM principal.ip. |
access.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro access.callerIp se asigna al campo principal.ip de UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp se asigna al campo de UDM principal.ip. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.ip se asigna al campo de UDM principal.ip. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.sourceIp se asigna al campo de UDM principal.ip. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcIp se asigna al campo de UDM principal.ip. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, y el valor del campo de registro sourceProperties.properties.ipConnection.srcIp no es igual a sourceProperties.properties.indicatorContext.ipAddress, el campo de registro sourceProperties.properties.indicatorContext.ipAddress se asigna al campo de UDM principal.ip. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.callerIp se asigna al campo de UDM principal.ip. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (obsoleta) |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo de UDM principal.labels.key/value. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo de UDM additional.fields.value.string_value. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsoleta) |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna a los campos principal.labels.key/value y UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna al campo de UDM additional.fields.value.string_value. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.countryCode se asigna al campo de UDM principal.location.country_or_region. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location se asigna al campo de UDM principal.location.country_or_region. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.location se asigna al campo de UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier se asigna al campo de UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation se asigna al campo de UDM principal.location.name. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcPort se asigna al campo de UDM principal.port. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink se asigna al campo de UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId se asigna al campo de UDM principal.process.pid. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.jobId se asigna al campo de UDM principal.process.pid. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.subnetworkName se asigna al campo de UDM principal.resource_ancestors.attribute.labels.value. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.projectId se asigna al campo de UDM principal.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM principal.resource_ancestors.name y el campo de UDM principal.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM principal.resource.attribute.labels.key/value. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Si el valor del campo de registro sourceProperties.properties.projectId no está vacío, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM principal.resource.name. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId se asigna al campo de UDM principal.resource.name. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Si el valor del campo de registro category es igual a Malware: Outgoing DoS, el campo de registro sourceProperties.properties.sourceInstanceDetails se asigna al campo de UDM principal.resource.name. |
|
principal.user.account_type |
Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo de UDM principal.user.account_type se asigna a SERVICE_ACCOUNT_TYPE.De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo de UDM principal.user.account_type se asigna a CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de UDM principal.user.attribute.labels.key se asigna a rawUserAgent y el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent se asigna al campo de UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de registro sourceProperties.properties.principalEmail se asigna al campo de UDM principal.user.email_addresses.Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro sourceProperties.properties.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography, el campo de registro access.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.userEmail se asigna al campo de UDM principal.user.email_addresses. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo de registro sourceProperties.properties.ssoState se asigna al campo de UDM principal.user.user_authentication_status. |
database.userName |
principal.user.userid |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.userName se asigna al campo de UDM principal.user.userid. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.threatIntelligenceSource se asigna al campo de UDM security_result.about.application. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo de UDM security_result.about.ip. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se define como CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.allowedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se define como BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se define como BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.accessLevels.policyName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se define como ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se asigna a security.Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo de UDM security_result.about.user.attribute.roles.name se asigna a Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de UDM security_result.action se asigna a BLOCK.Si el valor del campo de registro category es igual a Brute Force: SSH, y el valor del campo de registro sourceProperties.properties.attempts.authResult es igual a SUCCESS, el campo de UDM security_result.action se asigna a BLOCK.De lo contrario, el campo de UDM security_result.action se asigna a BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedResources.action se asigna al campo de UDM security_result.action_details. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedServices.action se asigna al campo de UDM security_result.action_details. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.allowedServices.action se asigna al campo de UDM security_result.action_details. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.accessLevels.action se asigna al campo de UDM security_result.action_details. |
|
security_result.alert_state |
Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se asigna a ALERTING.De lo contrario, el campo de UDM security_result.alert_state se asigna a NOT_ALERTING. |
findingClass |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details. |
category |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo de UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo de UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.authResult se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, el campo de UDM security_result.detection_fields.key se asigna a sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo de UDM security_result.detection_fields.key/value. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name se asigna al campo de UDM intermediary.labels.key. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.description se asigna al campo de UDM intermediary.labels.value. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal se asigna al campo de UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se asigna a HIGH_PRIORITY.Si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se asigna a MEDIUM_PRIORITY.Si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se asigna a LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.violationReason se asigna al campo de UDM security_result.summary. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo de UDM src.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri se asigna al campo de UDM src.resource_ancestors.attribute.labels.value. |
parent |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro parent se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId se asigna al campo de UDM src.resource_ancestors.name y el campo de UDM src.resource_ancestors.resource_type se define como TABLE. |
resourceName |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolder se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.projectNumber se asigna al campo de UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.organizationNumber se asigna al campo de UDM src.resource_ancestors.product_object_id. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo de UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se asigna a grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value. |
resource.displayName |
principal.hostname |
Si el valor del campo de registro resource.type coincide con el patrón de expresión regular (?i)google.compute.Instance or google.container.Cluster, el campo de registro resource.displayName se asigna al campo de UDM principal.hostname. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId se asigna al campo de UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId se asigna al campo de UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri se asigna al campo de UDM src.resource.attribute.labels.value. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.backupId se asigna al campo de UDM src.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro src.resource.attribute.labels.key/value se asigna al campo de UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se define como CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se define como CloudSQL.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se define como CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId se asigna al campo de UDM src.resource.product_object_id. |
access.serviceName |
target.application |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo de UDM target.application. |
sourceProperties.properties.serviceName |
target.application |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.serviceName se asigna al campo de UDM target.application. |
sourceProperties.properties.domainName |
target.domain.name |
Si el valor del campo de registro category es igual a Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.domainName se asigna al campo de UDM target.domain.name. |
sourceProperties.properties.domains.0 |
target.domain.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.domains.0 se asigna al campo de UDM target.domain.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action se asigna al campo de UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action se asigna al campo de UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member se asigna al campo de UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member se asigna al campo de UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin se asigna al campo de UDM target.group.attribute.permissions.name. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions se asigna al campo de UDM target.group.attribute.permissions.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName se asigna al campo de UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role se asigna al campo de UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role se asigna al campo de UDM target.group.attribute.roles.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName se asigna al campo de UDM target.group.attribute.roles.name. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName se asigna al campo de UDM target.group.attribute.roles.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName se asigna al campo de UDM target.group.group_display_name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName se asigna al campo de UDM target.group.group_display_name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName se asigna al campo de UDM target.group.group_display_name. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destIp se asigna al campo de UDM target.ip. |
access.methodName |
target.labels [access_methodName] (obsoleta) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleta) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleta) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleta) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleta) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleta) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleta) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleta) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleta) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleta) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleta) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleta) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleta) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleta) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (obsoleta) |
Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo de UDM target.labels.value. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo de UDM additional.fields.value.string_value. |
sourceProperties.properties.network.location |
target.location.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.network.location se asigna al campo de UDM target.location.name. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destPort se asigna al campo de UDM target.port. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.query se asigna al campo de UDM target.process.command_line. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
El campo de registro containers.labels.name se asigna al campo de UDM target.resource_ancestors.attribute.labels.key y el campo de registro containers.labels.value se asigna al campo de UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.projectId se asigna al campo de UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.subnetworkName se asigna al campo de UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkName se asigna al campo de UDM target.resource_ancestors.value. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkId se asigna al campo de UDM target.resource_ancestors.value. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource se asigna al campo de UDM target.resource_ancestors.name. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de registro sourceProperties.properties.gceInstanceId se asigna al campo de UDM target.resource_ancestors.product_object_id y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo de UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
El finding_id se extrae del campo de registro canonicalName mediante un patrón Grok.Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM src.resource.attribute.labels.key/value [finding_id]. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el finding_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
src.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.product_object_id. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el source_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.attribute.labels.key/value [source_id]. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el source_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM target.resource.attribute.labels.key/value [finding_id]. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.product_object_id. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.attribute.labels.key/value [source_id]. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de UDM target.resource.attribute.labels.key se asigna a exportScope y el campo de registro sourceProperties.properties.exportToGcs.exportScope se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.metadataKeyOperation se asigna al campo de UDM target.resource.attribute.labels.key/value. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo de UDM target.resource.attribute.labels.key/value. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketAccess se asigna al campo de UDM target.resource.attribute.permissions.name. |
sourceProperties.properties.name |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
resourceName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
exfiltration.targets.name |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se define como TABLE.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.instanceId se asigna al campo de UDM target.resource.product_object_id. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.resource_subtype.Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de UDM target.resource.resource_subtype se define como Privileged Group.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de UDM target.resource.resource_subtype se define como BigQuery. |
|
target.resource.resource_type |
Si el valor del campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType coincide con la expresión regular BUCKET, el campo de UDM target.resource.resource_type se asigna a STORAGE_BUCKET.Si no, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de UDM target.resource.resource_type se asigna a VIRTUAL_MACHINE.Si no, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de UDM target.resource.resource_type se asigna a VIRTUAL_MACHINE.Si no, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de UDM target.resource.resource_type se asigna a TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.gcsUri se asigna al campo de UDM target.url. |
sourceProperties.properties.requestUrl |
target.url |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.requestUrl se asigna al campo de UDM target.url. |
sourceProperties.properties.policyLink |
target.url |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.policyLink se asigna al campo de UDM target.url. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast se asigna al campo de UDM target.user.attribute.labels.value. |
sourceProperties.properties.attempts.username |
target.user.userid |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.username se asigna al campo de UDM target.user.userid.Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo de UDM target.user.userid. |
sourceProperties.properties.principalEmail |
target.user.userid |
Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo de UDM target.user.userid. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (obsoleta) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (obsoleta) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsoleta) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsoleta) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Added Binary Executed o Added Library Loaded, el campo de registro sourceProperties.VM_Instance_Name se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se define como VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de registro sourceProperties.Backend_Service se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de UDM target.resource.resource_type se define como BACKEND_SERVICE.Si el valor del campo de registro category es igual a Configurable Bad Domain, el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : se ha extraído user_id del campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail y, a continuación, se ha asignado el campo user_id al campo de UDM principal.user.userid. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : se ha extraído user_id del campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail y, a continuación, se ha asignado el campo user_id al campo de UDM principal.user.userid. |
resourceName |
principal.asset.location.name |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok : extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName. A continuación, el campo de registro region se asigna al campo de UDM principal.asset.location.name. |
resourceName |
principal.asset.product_object_id |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok : se han extraído project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName. A continuación, el campo de registro asset_prod_obj_id se asigna al campo de UDM principal.asset.product_object_id. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok : extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName. A continuación, el campo de registro zone_suffix se asigna al campo de UDM principal.asset.attribute.cloud.availability_zone. |
resourceName |
principal.asset.attribute.labels[project_name] |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok : extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName. A continuación, el campo de registro project_name se asigna al campo de UDM principal.asset.attribute.labels.value. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.methodName se asigna al campo de UDM target.labels. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.methodName se asigna al campo de UDM additional.fields. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.serviceName se asigna al campo de UDM target.labels. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.serviceName se asigna al campo de UDM additional.fields. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.attemptTimes se asigna al campo de UDM target.labels. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.attemptTimes se asigna al campo de UDM additional.fields. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.lastOccurredTime se asigna al campo de UDM target.labels. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si el valor del campo de registro category es igual a
Initial Access: Excessive Permission Denied Actions, el campo de registro
sourceProperties.properties.failedActions.lastOccurredTime se asigna al campo de UDM additional.fields. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Si el valor del campo de registro category contiene uno de los siguientes valores, el campo de registro resource.resourcePathString se asigna al campo de UDM src.resource.attribute.labels[resource_path_string].
resource.resourcePathString se asigna al campo de UDM target.resource.attribute.labels[resource_path_string]. |
Referencia de asignación de campos: identificador de evento a tipo de evento
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
Las siguientes tablas contienen los tipos de eventos de UDM y la asignación de campos de UDM para las clases de detecciones de Security Command Center: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.
Categoría VULNERABILITY a tipo de evento UDM
En la siguiente tabla se muestra la categoría VULNERABILITY y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Categoría MISCONFIGURATION a tipo de evento de UDM
En la siguiente tabla se muestra la categoría MISCONFIGURATION y los tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoría OBSERVATION a tipo de evento de UDM
En la siguiente tabla se muestra la categoría OBSERVATION y los tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| Persistencia: se ha añadido una clave SSH de proyecto | SETTING_MODIFICATION |
| Persistencia: añadir rol sensible | RESOURCE_PERMISSIONS_CHANGE |
| Impacto: GPU Instance Created | USER_RESOURCE_CREATION |
| Impacto: se han creado muchas instancias | USER_RESOURCE_CREATION |
Categoría ERROR a tipo de evento de UDM
En la siguiente tabla se muestra la categoría ERROR y los tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoría UNSPECIFIED a tipo de evento de UDM
En la siguiente tabla se muestra la categoría UNSPECIFIED y los tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoría POSTURE_VIOLATION a tipo de evento de UDM
En la siguiente tabla se muestra la categoría POSTURE_VIOLATION y los tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Referencia de asignación de campos: VULNERABILITY
En la siguiente tabla se enumeran los campos de registro de la categoría VULNERABILITY y sus campos UDM correspondientes.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | Se ha extraído region de resourceName mediante un patrón de Grok y se ha asignado al campo principal.asset.location.name de UDM. |
| resourceName | principal.asset.product_object_id | Se ha extraído asset_prod_obj_id de resourceName mediante un patrón de Grok y se ha asignado al campo principal.asset.product_object_id de UDM. |
| resourceName | principal.asset.attribute.cloud.availability_zone | Se ha extraído zone_suffix de resourceName mediante un patrón de Grok y se ha asignado al campo principal.asset.attribute.cloud.availability_zone de UDM. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Referencia de asignación de campos: MISCONFIGURATION
En la siguiente tabla se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Referencia de asignación de campos: OBSERVATION
En la siguiente tabla se enumeran los campos de registro de la categoría OBSERVATION y sus campos UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Referencia de asignación de campos: ERROR
En la siguiente tabla se enumeran los campos de registro de la categoría ERROR y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referencia de asignación de campos: UNSPECIFIED
En la siguiente tabla se enumeran los campos de registro de la categoría UNSPECIFIED y sus campos UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referencia de asignación de campos: POSTURE_VIOLATION
En la siguiente tabla se enumeran los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro finding.resourceName no está vacío, el campo de registro finding.resourceName se asigna al campo de UDM target.resource.name.El campo project_name se extrae del campo de registro finding.resourceName mediante el patrón Grok.Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo target.resource_ancestors.name de UDM. |
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro resourceName no está vacío, el campo de registro resourceName se asigna al campo de UDM target.resource.name.El campo project_name se extrae del campo de registro resourceName mediante el patrón Grok.Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo de UDM target.resource_ancestors.name. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Si el valor del campo de registro finding.cloudProvider contiene uno de los siguientes valores, el campo de registro finding.cloudProvider se asigna al campo de UDM about.resource.attribute.cloud.environment.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Si el valor del campo de registro cloudProvider contiene uno de los siguientes valores, el campo de registro cloudProvider se asigna al campo de UDM about.resource.attribute.cloud.environment.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Si el valor del campo de registro resource.cloudProvider contiene uno de los siguientes valores, el campo de registro resource.cloudProvider se asigna al campo de UDM target.resource.attribute.cloud.environment.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Campos comunes: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
En la siguiente tabla se enumeran los campos habituales de las categorías SECURITY COMMAND CENTER (VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION y TOXIC_COMBINATION) y sus campos UDM correspondientes.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleta) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleta) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleta) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleta) |
Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM additional.fields.value. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleta) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleta) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleta) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleta) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
El campo target.resource_ancestors.resource_type de UDM tiene el valor CLUSTER. |
|
about.resource.attribute.cloud.environment |
El campo about.resource.attribute.cloud.environment de UDM tiene el valor GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleta) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleta) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleta) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleta) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleta) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleta) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleta) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleta) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si el valor del campo de registro canonicalName no está vacío, se extrae el finding_id del campo de registro canonicalName mediante un patrón Grok.Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de UDM metadata.product_log_id.Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de UDM metadata.product_log_id. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM principal.resource.attribute.labels.value. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo de UDM principal.user.account_type se asigna a SERVICE_ACCOUNT_TYPE.De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo de UDM principal.user.account_type se asigna a CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro access.principalEmail no está vacío y coincide con la expresión regular ^.+@.+$, el campo de registro access.principalEmail se asigna al campo principal.user.email_addresses de UDM.access.principalEmail |
access.principalEmail |
principal.user.userid |
Si el valor del campo de registro access.principalEmail no está vacío y no coincide con la expresión regular ^.+@.+$, se asigna al campo principal.user.userid de la gestión de datos unificada.access.principalEmailaccess.principalEmail |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se asigna a security.Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo de UDM security_result.about.user.attribute.roles.name se asigna a Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se asigna a ALERTING.De lo contrario, el campo de UDM security_result.alert_state se asigna a NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo de UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo de UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, el campo de UDM security_result.detection_fields.key se asigna a sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo de UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo de UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se asigna a HIGH_PRIORITY.Si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se asigna a MEDIUM_PRIORITY.Si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se asigna a LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo de UDM src.process.command_line.De lo contrario, el campo de registro database.query se asigna al campo de UDM target.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.De lo contrario, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.folders.resourceFolderDisplay se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.De lo contrario, el campo de registro resource.gcpMetadata.folders.resourceFolderDisplay se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.folders.resourceFolder se asigna al campo de UDM src.resource_ancestors.name.De lo contrario, el campo de registro resource.gcpMetadata.folders.resourceFolder se asigna al campo de UDM target.resource_ancestors.name. |
resource.organization |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.organization se asigna al campo de UDM src.resource_ancestors.name.De lo contrario, el campo de registro resource.organization se asigna al campo de UDM target.resource_ancestors.name. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.organization se asigna al campo de UDM src.resource_ancestors.name.De lo contrario, el campo de registro resource.gcpMetadata.organization se asigna al campo de UDM target.resource_ancestors.name. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.parentDisplayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.parentDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.gcpMetadata.parentDisplayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.parentName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.parent se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.gcpMetadata.parent se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.projectDisplayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.projectDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.De lo contrario, el campo de registro resource.gcpMetadata.projectDisplayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo de UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se asigna a grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.display_name se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.display_name se asigna al campo de UDM target.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.sources.components se asigna al campo de UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro resourceName se asigna al campo de UDM src.resource.name. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo de UDM target.application. |
access.methodName |
target.labels [access_methodName] (obsoleta) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleta) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleta) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleta) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleta) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleta) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleta) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleta) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleta) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleta) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleta) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleta) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleta) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleta) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo de UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
El finding_id se extrae del campo de registro canonicalName mediante un patrón Grok.Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM src.resource.attribute.labels.key/value [finding_id]. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el finding_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
src.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.product_object_id. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el source_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.attribute.labels.key/value [source_id]. Si el valor del campo de registro category es igual a uno de los siguientes valores, se extraerá el source_id del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM target.resource.attribute.labels.key/value [finding_id]. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.product_object_id. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.attribute.labels.key/value [source_id]. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName mediante un patrón Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo de UDM target.resource.attribute.labels.key/value. |
resourceName |
target.resource.name |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se define como VIRTUAL_MACHINE.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.En caso contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RegionCode, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.location.country_or_region.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RemoteHost, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.ip.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a UserAgent, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM network.http.user_agent.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RequestUriPath, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.url.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.compromised_account se asigna al campo de UDM principal.user.userid y el campo de UDM principal.user.account_type se define como SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.project_identifier se asigna al campo de UDM principal.resource.product_object_id.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.private_key_identifier se asigna al campo de UDM principal.user.attribute.labels.value.
|
sourceProperties.action_taken |
principal.labels [action_taken] (obsoleta) |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM principal.labels.value.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM additional.fields.value.
|
sourceProperties.finding_type |
principal.labels [finding_type] (obsoleta) |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM principal.labels.value.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM additional.fields.value.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.url se asigna al campo de UDM principal.user.attribute.labels.value.
|
sourceProperties.security_result.summary |
security_result.summary |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.security_result.summary se asigna al campo de UDM security_result.summary.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
Siguientes pasos
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.