Recopila los hallazgos de Security Command Center

Compatible con:

En este documento, se describe cómo puedes recopilar registros de Security Command Center mediante la configuración de Security Command Center y transferir los resultados a Google Security Operations. En este documento, también se enumeran los eventos admitidos.

Para obtener más información, consulta Transferencia de datos a Google Security Operations y Exporta resultados de Security Command Center a Google Security Operations. Una implementación típica consiste en Security Command Center y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

  • Google Cloud: Es el sistema que se debe supervisar en el que se instala Security Command Center.

  • Hallazgos de la detección de amenazas en eventos de Security Command Center: Recopila información de la fuente de datos y genera hallazgos.

  • Google Security Operations: Retiene y analiza los registros de Security Command Center.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de transferencia:

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

Configura Security Command Center y Google Cloud para enviar los resultados a Google Security Operations

Hallazgos admitidos de Event Threat Detection

En esta sección, se enumeran los hallazgos de Event Threat Detection admitidos. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta Reglas de Event Threat Detection.

Buscando nombre Descripción
Análisis activo: Log4j es vulnerable a RCE Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios no ofuscados que se iniciaron con escáneres de vulnerabilidades compatibles de Log4j.
Ataques de fuerza bruta: SSH Detección de fuerza bruta SSH exitosa en un host
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgaron roles o permisos sensibles). Un hallazgo se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Acceso a las credenciales: Grupo privilegiado abierto al público Detecta cuándo se cambia un Grupo de Google con privilegios (un grupo al que se otorgaron roles o permisos sensibles) para que sea accesible para el público general. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido Detecta cuándo se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Defense Evasion: Modifica el Control de servicios de VPC Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro.
Descubrimiento: Puede obtener checkPreview de objeto de Kubernetes sensible Un agente malicioso intentó determinar qué objetos sensibles en Google Kubernetes Engine (GKE) se pueden consultar con el comando kubectl auth can-i get.
Descubrimiento: Autoinvestigación de cuentas de servicio La detección de una credencial de cuenta de servicio de Identity and Access Management (IAM) que se usa para investigar los roles y permisos asociados con esa misma cuenta de servicio.
Evasión: Acceso desde un proxy de anonimización Detección de modificaciones del servicio de Google Cloud que se originaron a partir de direcciones IP de proxy anónimas, como las direcciones IP Tor.
Robo de datos: Robo de datos de BigQuery Detecta las siguientes situaciones:
  • Recursos que son propiedad de la organización protegida y que se guardan fuera de ella, incluidas las operaciones de copia o transferencia
  • Intentos de acceder a los recursos de BigQuery protegidos por los Controles del servicio de VPC.
Robo de datos: Extracción de datos de BigQuery Detecta las siguientes situaciones:
  • Un recurso de BigQuery que es propiedad de la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización.
  • Un recurso de BigQuery que es propiedad de la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.
Robo de datos: datos de BigQuery en Google Drive Detecta las siguientes situaciones:

Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.

Robo de datos: Robo de datos de Cloud SQL Detecta las siguientes situaciones:
  • Datos de instancia en vivo exportados a un bucket de Cloud Storage fuera de la organización.
  • Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y al que se puede acceder de forma pública.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa Detecta cuándo la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización.
Robo de datos: Otorgamiento con exceso de privilegios de SQL de Cloud SQL Detecta cuándo se otorgaron todos los privilegios a una base de datos o a todas las tablas, procedimientos o funciones de un esquema a un usuario o rol de Cloud SQL Postgres.
Inhabilita las defensas: Autenticación segura inhabilitada Se inhabilitó la verificación en dos pasos para la organización.
Inhabilita las defensas: Verificación en dos pasos inhabilitada Un usuario inhabilitó la verificación en 2 pasos.
Acceso inicial: Usurpación de cuenta inhabilitada Se suspendió la cuenta de un usuario debido a una actividad sospechosa.
Acceso inicial: Filtrado de contraseña inhabilitada Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.
Acceso inicial: Ataque basado en el Gobierno Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.
Acceso inicial: Intento de compromiso de Log4j Detecta búsquedas de nomenclatura de Java y de la interfaz de directorios (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso.
Acceso inicial: Acceso sospechoso bloqueado Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario.
Software malicioso de Log4j: Error de dominio La detección del exploit de tráfico de Log4j se basa en una conexión a, o una búsqueda de, un dominio conocido utilizado en los ataques de Log4j.
Software malicioso de Log4j: IP incorrecta La detección del exploit de tráfico de Log4j se basa en una conexión a una dirección IP conocida utilizada en ataques de Log4j.
Software malicioso: error de dominio Detección de software malicioso basada en una conexión a un dominio malicioso conocido o una búsqueda de este.
Software malicioso: error de IP Detección de software malicioso basada en una conexión a una dirección IP incorrecta conocida.
Software malicioso: Error de criptominería en un dominio Detección de criptominería basada en una conexión a un dominio de minería de criptomonedas conocido, o una búsqueda de este.
Software malicioso: Criptominería de IP incorrecta Detección de minería de criptomonedas basada en una conexión a una dirección IP de minería conocida.
DoS Salientes Detección del tráfico saliente de denegación del servicio
El administrador de Compute Engine agregó la clave SSH Detección de una modificación en el valor de la clave SSH de metadatos de la instancia de Compute Engine en una instancia establecida (de más de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio La detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (de más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado.
Persistencia: Nueva API de MethodPreview Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes.
Persistencia: Usuario-agente nuevo Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos.
Persistencia: Activación o desactivación de SSO Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada Se cambió la configuración de SSO para la cuenta de administrador.
Elevación de privilegios: Cambios en los objetos RBAC sensibles de KubernetesVista previa Para elevar privilegios, un agente malicioso trató de modificar los objetos cluster-admin ClusterRole y ClusterRoleBinding mediante una solicitud PUT o PATCH.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le otorga acceso de administrador del clúster.
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensiblesPreview Un agente malicioso intentó crear nuevos objetos RoleBinding o ClusterRoleBinding de administrador de clústeres para escalar su privilegio.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas (versión preliminar) Un agente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor de Kubernetes con privilegios (versión preliminar) Un agente malicioso creó Pods con contenedores con privilegios o contenedores con capacidades de elevación de privilegios.

Un contenedor con privilegios tiene el campo de privilegios configurado como verdadero. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como verdadero.

Acceso inicial: Se creó la clave de cuenta de servicio inactiva Detecta eventos en los que se crea una clave para una cuenta de servicio inactiva administrada por un usuario. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Árbol de procesos El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un objeto binario que no debería generar un proceso de shell, el detector activa un hallazgo.
Shell secundario inesperado El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un binario que no debe generar un proceso de shell, el detector activa un hallazgo.
Ejecución: Se ejecutó el binario malicioso agregado El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: ejecución de binario malicioso modificado El detector busca un binario en ejecución que originalmente estaba incluido en la imagen del contenedor, pero se modificó durante el tiempo de ejecución, y se identificó como malicioso según la información sobre amenazas.
Elevación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador Detecta cuándo se encuentra una solicitud delegada de varios pasos anómala para una actividad administrativa.
Se usó una cuenta de anulación de emergencia: descanso_de_vidrio_account Detecta el uso de una cuenta de acceso de emergencia (anulación de emergencia).
Dominio incorrecto configurable: APT29_Domains Detecta una conexión a un nombre de dominio especificado.
Otorgamiento de rol inesperado: roles prohibidos Detecta cuándo se otorga un rol especificado a un usuario.
IP incorrecta configurable Detecta una conexión a una dirección IP especificada.
Tipo de instancia de Compute Engine inesperado Detecta la creación de instancias de Compute Engine que no coinciden con un tipo de instancia o una configuración especificados.
Imagen de origen de Compute Engine inesperada Detecta la creación de una instancia de Compute Engine con una imagen o familia de imágenes que no coincide con una lista especificada.
Región inesperada de Compute Engine Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada.
Rol personalizado con permiso prohibido Detecta cuándo se otorga a una principal un rol personalizado con cualquiera de los permisos de IAM especificados.
Llamada inesperada a la API de Cloud Detecta cuándo una principal especificada llama a un método especificado en un recurso determinado. Un resultado se genera solo si todas las expresiones regulares coinciden en una sola entrada de registro.

Hallazgos admitidos de GCP_SECURITYCENTER_ERROR

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: ERROR.

Buscando nombre Descripción
VPC_SC_RESTRICTION Security Health Analytics no puede producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar los resultados a Logging.
API_DISABLED Una API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.
KTD_IMAGE_PULL_FAILURE La Detección de amenazas a contenedores no se puede habilitar en el clúster porque no se puede extraer (descargar) una imagen de contenedor necesaria desde gcr.io, el host de imagen de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere esta función.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection.

Cuando se ve en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que mostró Google Kubernetes Engine cuando Container Threat Detection intentó implementar un objeto DaemonSet de detección de amenazas de contenedor.

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS A una cuenta de servicio le faltan los permisos que requiere Container Threat Detection. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS Container Threat Detection no puede generar resultados para un clúster de Google Kubernetes Engine, porque a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto evita que Container Threat Detection se habilite correctamente en el clúster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar correctamente. No se producen resultados.

Resultados compatibles de GCP_SECURITYCENTER_OBSERVATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: OBSERVACIÓN.

Buscando nombre Descripción
Persistencia: Se agregó la clave SSH al proyecto Se creó una clave SSH a nivel de proyecto en un proyecto que tiene más de 10 días de antigüedad.
Persistencia: Agrega un rol sensible Se otorgó un rol de IAM sensible o con privilegios elevados a nivel de la organización en una organización que tiene más de 10 días.

Resultados compatibles de GCP_SECURITYCENTER_UNSPECIFIED

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: UNSPECIFIED.

Buscando nombre Descripción
OPEN_FIREWALL Un firewall está configurado para estar abierto al acceso público.

Resultados admitidos de GCP_SECURITYCENTER_VULNERABILITY

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: VULNERABILITY.

Buscando nombre Descripción
DISK_CSEK_DISABLED Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.
ALPHA_CLUSTER_ENABLED Las funciones del clúster Alfa están habilitadas para un clúster de GKE.
AUTO_REPAIR_DISABLED La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED La función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes, está inhabilitada.
CLUSTER_SHIELDED_NODES_DISABLED Los nodos de GKE protegidos no están habilitados para un clúster
COS_NOT_USED Las VMs de Compute Engine no usan Container-Optimized OS que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.
INTEGRITY_MONITORING_DISABLED La supervisión de integridad está inhabilitada para un clúster de GKE.
IP_ALIAS_DISABLED Se creó un clúster de GKE con los rangos de IP de alias inhabilitados.
LEGACY_METADATA_ENABLED Los metadatos heredados están habilitados en los clústeres de GKE.
RELEASE_CHANNEL_DISABLED Un clúster de GKE no está suscrito a un canal de versiones.
DATAPROC_IMAGE_OUTDATED Se creó un clúster de Dataproc con una versión de imagen de Dataproc afectada por vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046).
PUBLIC_DATASET Un conjunto de datos se configura para estar abierto al acceso público.
DNSSEC_DISABLED Las DNSSEC están inhabilitadas para las zonas de Cloud DNS.
RSASHA1_FOR_SIGNING RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS.
REDIS_ROLE_USED_ON_ORG Una función de IAM de Redis se asigna a nivel de organización o carpeta.
KMS_PUBLIC_KEY Las claves criptográficas de Cloud KMS son de acceso público.
SQL_CONTAINED_DATABASE_AUTHENTICATION La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_EXTERNAL_SCRIPTS_ENABLED La marca de base de datos de secuencias de comandos externas habilitadas para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_ERROR_VERBOSITY La marca de base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como predeterminada o más estricta.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en “-1”.
SQL_LOG_MIN_ERROR_STATEMENT La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_MIN_MESSAGES La marca de base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como advertencia.
SQL_LOG_EXECUTOR_STATS_ENABLED La marca de base de datos log_executor_status para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_HOSTNAME_ENABLED La marca de base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PARSER_STATS_ENABLED La marca de base de datos log_parser_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PLANNER_STATS_ENABLED La marca de base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_STATEMENT_STATS_ENABLED La marca de base de datos log_statement_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_TEMP_FILES La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625 La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED Se configuró la marca de base de datos de conexiones de usuario para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
PUBLIC_LOG_BUCKET Un bucket de almacenamiento usado como receptor de registros es de acceso público.
ACCESSIBLE_GIT_REPOSITORY Un repositorio de Git se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de GIT.
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de SVN.
CACHEABLE_PASSWORD_INPUT Las contraseñas que se ingresan en la aplicación web se pueden almacenar en la caché de un navegador común en lugar de un almacenamiento seguro de contraseñas.
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este hallazgo, encripta la contraseña transmitida a través de la red.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de la solicitud de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este hallazgo, valida que el dominio esperado coincida completamente con el valor del encabezado de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este hallazgo, configura el encabezado HTTP X-Content-Type-Options con el valor correcto.
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este hallazgo, configura los encabezados de seguridad HTTP correctamente.
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignora. Para resolver este hallazgo, configura los encabezados de seguridad HTTP correctamente.
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS.
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este hallazgo, actualiza las bibliotecas a una versión más reciente.
SERVER_SIDE_REQUEST_FORGERY Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este hallazgo, usa una lista de entidades permitidas para limitar los dominios y las direcciones IP a los que la aplicación web puede realizar solicitudes.
SESSION_ID_LEAK Cuando se realiza una solicitud multidominio, la aplicación web incluye el identificador de sesión del usuario en el encabezado de la solicitud de referencia. Esta vulnerabilidad le da al dominio receptor acceso al identificador de la sesión, que se puede usar para suplantar la identidad del usuario o identificarlo de manera inequívoca.
SQL_INJECTION Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este hallazgo, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta en SQL.
STRUTS_INSECURE_DESERIALIZATION Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario.
XSS_ANGULAR_CALLBACK La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla.
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver este hallazgo, valida y evita los datos que no sean de confianza proporcionados por los usuarios.
XXE_REFLECTED_FILE_LEAKAGE Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas.
BASIC_AUTHENTICATION_ENABLED Debe habilitarse la autenticación de IAM o de certificado de cliente en los clústeres de Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED Los clústeres de Kubernetes se deben crear con el certificado de cliente habilitado.
LABELS_NOT_USED Las etiquetas se pueden usar para desglosar los datos de facturación.
PUBLIC_STORAGE_OBJECT La LCA de objetos de almacenamiento no debe otorgar acceso a allUsers.
SQL_BROAD_ROOT_LOGIN El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables.
WEAK_CREDENTIALS Este detector busca credenciales débiles con métodos de fuerza bruta ncra.

Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

ELASTICSEARCH_API_EXPOSED La API de Elasticsearch permite que los llamadores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
EXPOSED_GRAFANA_ENDPOINT En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido de directorios que permite que cualquier usuario lea cualquier archivo en el servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798.
EXPOSED_METABASE Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad de mapas con GeoJSON personalizado y la posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de su carga. Para obtener más información, consulta CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Este detector verifica si se exponen los extremos sensibles de Actuator de las aplicaciones de Spring Boot. Es posible que algunos extremos predeterminados, como /heapdump, expongan información sensible. Otros endpoints, como /env, podrían conducir a la ejecución remota de código. Actualmente, solo se verifica /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster Hadoop, está expuesta y permite la ejecución de código no autenticado.
JAVA_JMX_RMI_EXPOSED Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos de las aplicaciones de Java. Ejecutar JMX con un extremo de invocación de método remoto sin protección permite a cualquier usuario remoto crear un MBean javax.management.loading.MLet y usarlo para crear MBeans nuevos a partir de URLs arbitrarias.
JUPYTER_NOTEBOOK_EXPOSED_UI Este detector verifica si se expone un notebook de Jupyter sin autenticar. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión. Un notebook de Jupyter no autenticado pone la VM de hosting en riesgo de ejecución remota de código.
KUBERNETES_API_EXPOSED La API de Kubernetes se expone y los emisores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION Este detector verifica si una instalación de WordPress está sin terminar. Una instalación sin terminar de WordPress expone la página /wp-admin/install.php, que permite al atacante establecer la contraseña de administrador y, posiblemente, comprometer el sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Este detector comprueba si hay una instancia de Jenkins no autenticada mediante el envío de un ping de sondeo al extremo /view/all/newJob como un visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían llevar a la ejecución remota del código.
APACHE_HTTPD_RCE Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite que un atacante use un ataque de desbordamiento de ruta de acceso para asignar URLs a archivos fuera de la raíz del documento esperada y ver la fuente de los archivos interpretados, como las secuencias de comandos CGI. Se sabe que este problema se explota en el entorno. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta:

Registro CVE CVE-2021-41773

Vulnerabilidades del servidor HTTP 2.4 de Apache

APACHE_HTTPD_SSRF Los atacantes pueden crear un URI para el servidor web Apache que haga que mod_proxy reenvíe la solicitud a un servidor de origen que elija el atacante. Este problema afecta al servidor HTTP de Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta:

Registro CVE CVE-2021-40438

Vulnerabilidades del servidor HTTP 2.4 de Apache

CONSUL_RCE Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks establecido en verdadero y la API HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las comprobaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Protección de Consul contra riesgos de RCE en configuraciones específicas. Para comprobar esta vulnerabilidad, la Detección rápida de vulnerabilidades registra un servicio en la instancia de Consul mediante el extremo REST /v1/health/service, que luego ejecuta una de las siguientes opciones: * Un comando curl a un servidor remoto fuera de la red Un atacante puede usar el comando curl para exfiltrar datos del servidor. * Un comando printf. Luego, la Detección rápida de vulnerabilidades verifica el resultado del comando con el extremo de REST /v1/health/service. * Después de la verificación, la Detección rápida de vulnerabilidades limpia y cancela el registro del servicio con el extremo REST /v1/agent/service/deregister/.
DRUID_RCE Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario, incorporado en varios tipos de solicitudes. Esta funcionalidad está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar un código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta Detalles de CVE-2021-25646.
DRUPAL_RCE

Las versiones de Drupal anteriores a la 7.58, 8.x antes de la 8.3.9, 8.4.x antes de la 8.4.6 y 8.5.x antes de la 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de API de formulario.

Las versiones de Drupal 8.5.x anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución remota de código cuando el módulo del servicio web RESTful o la API de JSON están habilitados. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.

FLINK_FILE_DISCLOSURE Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local de JobManager a través de la interfaz REST del proceso de JobManager. El acceso está restringido a los archivos a los que puede acceder el proceso JobManager.
GITLAB_RCE En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida correctamente los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos.
GoCD_RCE En GoCD 21.2.0 y versiones anteriores, existe un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de recorrido de directorios que permite que un usuario lea cualquier archivo del servidor sin autenticación.
JENKINS_RCE Las versiones 2.56 y anteriores de Jenkins, y 2.46.1 LTS y anteriores son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede ser activada por un atacante no autenticado que utiliza un objeto Java serializado malicioso.
JOOMLA_RCE

Las versiones de Joomla 1.5.x, 2.x y 3.x anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede activarse con un encabezado elaborado que contenga objetos PHP serializados.

Las versiones de Joomla 3.0.0 a 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contiene un objeto PHP serializado y elaborado.

LOG4J_RCE En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se utilizan en configuraciones, mensajes de registro y parámetros no protegen contra LDAP controlado por el atacante y otros endpoints relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION MantisBT a través de la versión 2.3.0 permite el restablecimiento arbitrario de contraseñas y el acceso de administrador no autenticado proporcionando un valor confirm_hash vacío para verificar.php.
OGNL_RCE Las instancias de Confluence Server y Data Center contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084.
OPENAM_RCE El servidor OpenAM 14.6.2 y versiones anteriores, y el servidor ForgeRock AM 6.5.3 y anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession en varias páginas. El exploit no requiere autenticación, y la ejecución de código remoto se puede activar enviando una sola solicitud /ccversion/* creada al servidor. La vulnerabilidad existe debido al uso de la aplicación Sun ONE. Para obtener más información, consulta CVE-2021-35464.
ORACLE_WEBLOGIC_RCE Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad fácil de explotar permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa un servidor Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882.
PHPUNIT_RCE Las versiones de PHPUnit anteriores a 5.6.3 permiten la ejecución de código remoto con una única solicitud POST no autenticada.
PHP_CGI_RCE Las versiones de PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos que se ejecutan en el servidor.
PORTAL_RCE La deserialización de datos no confiables en las versiones del portal de Liferay anteriores a 7.2.1 CE GA2 permite que los atacantes remotos ejecuten código arbitrario a través de servicios web JSON.
REDIS_RCE Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar un código arbitrario.
SOLR_FILE_EXPOSED La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, finalmente, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios.
SOLR_RCE Las versiones de Apache Solr 5.0.0 a Apache Solr 8.3.1 son vulnerables a la ejecución de código remoto a través de VelocityResponseWriter si params.resource.loader.enabled se configura como verdadero. Esto permite a los atacantes crear un parámetro que contenga una plantilla de velocidad maliciosa.
STRUTS_RCE
  • Las versiones de Apache Struts anteriores a la 2.3.32 y 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución remota de código. La vulnerabilidad puede activarse cuando un atacante no autenticado proporciona un encabezado de tipo de contenido elaborado.
  • El complemento REST de las versiones de Apache Struts 2.1.1 a 2.3.x anteriores a la 2.3.34 y 2.5.x anteriores a la 2.5.13 son vulnerables a la ejecución remota de código cuando se deserializan cargas útiles de XML fabricadas.
  • Las versiones de Apache Struts 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuando siempreSelectFullNamespace se establece en verdadero y existen otras configuraciones de acción.
TOMCAT_FILE_DISCLOSURE Las versiones de Apache Tomcat 9.x anteriores a 9.0.31, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas las 6.x son vulnerables al código fuente y la divulgación de la configuración a través de un conector de protocolo Apache JServ expuesto. En algunos casos, esto se aprovecha para ejecutar la ejecución remota de código si se permite la carga de archivos.
VBULLETIN_RCE Los servidores vBulletin que ejecutan versiones 5.0.0 a 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud de routestring.
VCENTER_RCE Las versiones de VMware vCenter Server 7.x anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 anteriores a 6.5 U3n son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar si un atacante sube un archivo creado con páginas del servidor Java a un directorio accesible desde la web y, luego, activa la ejecución de ese archivo.
WEBLOGIC_RCE Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución remota de código, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883.
OS_VULNERABILITY VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado para una VM de Compute Engine.
UNUSED_IAM_ROLE El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no deben otorgarse a agentes de servicio.

Resultados admitidos de GCP_SECURITYCENTER_MISCONFIGURATION

Puedes encontrar la asignación de UDM en la tabla Referencia de la asignación de campos: MISCONFIGURATION.

Buscando nombre Descripción
API_KEY_APIS_UNRESTRICTED Hay claves de API que se usan de una forma demasiado general. Para resolver este problema, limita el uso de la clave de API para permitir solo las APIs que necesita la aplicación.
API_KEY_APPS_UNRESTRICTED Hay claves de API que se usan de manera sin restricciones, lo que permite que cualquier app que no sea de confianza las use
API_KEY_EXISTS Un proyecto usa claves de API en lugar de la autenticación estándar.
API_KEY_NOT_ROTATED La clave de API no se rotó durante más de 90 días.
PUBLIC_COMPUTE_IMAGE Una imagen de Compute Engine es de acceso público.
CONFIDENTIAL_COMPUTING_DISABLED Confidential Computing está inhabilitado en una instancia de Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto.
COMPUTE_SECURE_BOOT_DISABLED Esta VM protegida no tiene habilitado el inicio seguro. El uso del Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits.
DEFAULT_SERVICE_ACCOUNT_USED Una instancia está configurada para usar la cuenta de servicio predeterminada.
FULL_API_ACCESS Se configura una instancia para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.
OS_LOGIN_DISABLED El Acceso al SO está inhabilitado en esta instancia.
PUBLIC_IP_ADDRESS Las instancias tienen una dirección IP pública.
SHIELDED_VM_DISABLED La VM protegida está inhabilitada en esta instancia.
COMPUTE_SERIAL_PORTS_ENABLED Los puertos en serie están habilitados para una instancia, lo que permite conexiones a su consola en serie.
DISK_CMEK_DISABLED Los discos en esta VM no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
HTTP_LOAD_BALANCER Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.
IP_FORWARDING_ENABLED El reenvío de IP está habilitado en las instancias.
WEAK_SSL_POLICY Una instancia tiene una política de SSL débil.
BINARY_AUTHORIZATION_DISABLED La autorización binaria está inhabilitada en un clúster de GKE.
CLUSTER_LOGGING_DISABLED Logging no está habilitado para un clúster de GKE.
CLUSTER_MONITORING_DISABLED Monitoring está inhabilitado en los clústeres de GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las APIs de Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED La encriptación de Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.
INTRANODE_VISIBILITY_DISABLED La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.
NETWORK_POLICY_DISABLED La política de red está inhabilitada en los clústeres de GKE.
NODEPOOL_SECURE_BOOT_DISABLED El inicio seguro está inhabilitado para un clúster de GKE.
OVER_PRIVILEGED_ACCOUNT Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster.
OVER_PRIVILEGED_SCOPES Una cuenta de servicio de nodo tiene permisos de acceso amplios.
POD_SECURITY_POLICY_DISABLED PodSecurityPolicy está inhabilitado en un clúster de GKE.
PRIVATE_CLUSTER_DISABLED Un clúster de GKE tiene un clúster privado inhabilitado.
WORKLOAD_IDENTITY_DISABLED Un clúster de GKE no está suscrito a un canal de versiones.
LEGACY_AUTHORIZATION_ENABLED La autorización heredada está habilitada en los clústeres de GKE.
NODEPOOL_BOOT_CMEK_DISABLED Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
WEB_UI_ENABLED La IU web de GKE (panel) está habilitada.
AUTO_REPAIR_DISABLED La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED La función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes, está inhabilitada.
CLUSTER_SHIELDED_NODES_DISABLED Los nodos de GKE protegidos no están habilitados para un clúster
RELEASE_CHANNEL_DISABLED Un clúster de GKE no está suscrito a un canal de versiones.
BIGQUERY_TABLE_CMEK_DISABLED Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo.
DATASET_CMEK_DISABLED Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo.
EGRESS_DENY_RULE_NOT_SET Una regla de denegación de salida no está configurada en un firewall. Se deben establecer reglas de denegación de salida para bloquear el tráfico saliente no deseado.
FIREWALL_RULE_LOGGING_DISABLED El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.
OPEN_CASSANDRA_PORT Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico.
OPEN_SMTP_PORT Un firewall está configurado para tener un puerto SMTP abierto que permite el acceso genérico.
OPEN_REDIS_PORT Un firewall se configura para tener un puerto REDIS abierto que permite el acceso genérico.
OPEN_POSTGRESQL_PORT Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico.
OPEN_POP3_PORT Un firewall está configurado para tener un puerto POP3 abierto que permite el acceso genérico.
OPEN_ORACLEDB_PORT Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_NETBIOS_PORT Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_MYSQL_PORT Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.
OPEN_MONGODB_PORT Un firewall está configurado para tener un puerto MONGODB abierto que permite el acceso genérico.
OPEN_MEMCACHED_PORT Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.
OPEN_LDAP_PORT Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.
OPEN_FTP_PORT Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico.
OPEN_ELASTICSEARCH_PORT Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permite el acceso genérico.
OPEN_DNS_PORT Un firewall se configura para tener un puerto DNS abierto que permite el acceso genérico.
OPEN_HTTP_PORT Un firewall se configura para tener un puerto HTTP abierto que permite el acceso genérico.
OPEN_DIRECTORY_SERVICES_PORT Se configura un firewall para tener un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico.
OPEN_CISCOSECURE_WEBSM_PORT Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.
OPEN_RDP_PORT Un firewall se configura para tener un puerto RDP abierto que permite el acceso genérico.
OPEN_TELNET_PORT Un firewall está configurado para tener un puerto TELNET abierto que permite el acceso genérico.
OPEN_FIREWALL Un firewall está configurado para estar abierto al acceso público.
OPEN_SSH_PORT Un firewall se configura para tener un puerto SSH abierto que permite el acceso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe la “Separación de obligaciones”. .
NON_ORG_IAM_MEMBER Hay un usuario que no usa credenciales de organización. Según CIS para Google Cloud Foundations 1.0, actualmente solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un usuario tiene el rol Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de hacerlo para una cuenta de servicio específica.
ADMIN_SERVICE_ACCOUNT Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no se deben asignar a las cuentas de servicio creadas por el usuario.
SERVICE_ACCOUNT_KEY_NOT_ROTATED No se rotó una clave de cuenta de servicio durante más de 90 días.
USER_MANAGED_SERVICE_ACCOUNT_KEY Un usuario administra una clave de cuenta de servicio.
PRIMITIVE_ROLES_USED Un usuario tiene el rol básico: propietario, escritor o lector. Estas funciones son demasiado permisivas y no deberían usarse.
KMS_ROLE_SEPARATION No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de los siguientes roles de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, encriptador o desencriptador.
OPEN_GROUP_IAM_MEMBER Una cuenta de Grupos de Google que puede unirse sin aprobación se usa como principal de la política de permisos de IAM.
KMS_KEY_NOT_ROTATED La rotación no está configurada en una clave de encriptación de Cloud KMS. Se deben rotar las claves en un período de 90 días.
KMS_PROJECT_HAS_OWNER Un usuario tiene permisos de propietario en un proyecto con claves criptográficas.
TOO_MANY_KMS_USERS Hay más de tres usuarios de claves criptográficas.
OBJECT_VERSIONING_DISABLED El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.
LOCKED_RETENTION_POLICY_NOT_SET Una política de retención bloqueada no se establece para los registros.
BUCKET_LOGGING_DISABLED Hay un bucket de almacenamiento sin el registro habilitado.
LOG_NOT_EXPORTED Hay un recurso que no tiene configurado un receptor de registros adecuado.
AUDIT_LOGGING_DISABLED Se inhabilitó el registro de auditoría para este recurso.
MFA_NOT_ENFORCED Hay usuarios que no usan la verificación en 2 pasos.
ROUTE_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la ruta de la red de VPC.
OWNER_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar las asignaciones o los cambios de la propiedad del proyecto.
AUDIT_CONFIG_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de auditoría.
BUCKET_IAM_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED Las métricas y alertas de registro no están configuradas para supervisar los cambios de los roles personalizados.
FIREWALL_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la regla de firewall de red de la nube privada virtual (VPC).
NETWORK_NOT_MONITORED Las métricas y alertas de registros no están configuradas para supervisar los cambios en la red de VPC.
SQL_INSTANCE_NOT_MONITORED Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.
DEFAULT_NETWORK La red predeterminada existe en un proyecto.
DNS_LOGGING_DISABLED El registro DNS en una red de VPC no está habilitado.
PUBSUB_CMEK_DISABLED Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
PUBLIC_SQL_INSTANCE Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.
SSL_NOT_ENFORCED Una instancia de base de datos de Cloud SQL no requiere todas las conexiones entrantes para usar SSL.
AUTO_BACKUP_DISABLED Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.
SQL_CMEK_DISABLED Una instancia de base de datos de SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
SQL_LOG_CHECKPOINTS_DISABLED La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_CONNECTIONS_DISABLED La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DISCONNECTIONS_DISABLED La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DURATION_DISABLED La marca de la base de datos log_duration para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_LOCK_WAITS_DISABLED La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_STATEMENT La marca de base de datos log_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en Ddl (todas las declaraciones de definición de datos).
SQL_NO_ROOT_PASSWORD Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
SQL_PUBLIC_IP Una base de datos de Cloud SQL tiene una dirección IP pública.
SQL_CONTAINED_DATABASE_AUTHENTICATION La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_MIN_ERROR_STATEMENT La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_TEMP_FILES La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625 La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED Se configuró la marca de base de datos de conexiones de usuario para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL Un bucket de Cloud Storage es de acceso público.
BUCKET_POLICY_ONLY_DISABLED No se configura el acceso uniforme a nivel de bucket, antes llamado Solo política del bucket.
BUCKET_CMEK_DISABLED Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
FLOW_LOGS_DISABLED Hay una subred de VPC que tiene registros de flujo inhabilitados.
PRIVATE_GOOGLE_ACCESS_DISABLED Hay subredes privadas que no tienen acceso a las APIs públicas de Google.
kms_key_region_europe Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
kms_non_euro_region Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
LEGACY_NETWORK Existe una red heredada en un proyecto.
LOAD_BALANCER_LOGGING_DISABLED El registro está inhabilitado para el balanceador de cargas.

Resultados compatibles de GCP_SECURITYCENTER_POSTURE_VIOLATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: POSTURE VIOLATION.

Buscando nombre Descripción
SECURITY_POSTURE_DRIFT Se desvían de las políticas definidas dentro de la postura de seguridad. El servicio de postura de seguridad detecta esto.
SECURITY_POSTURE_POLICY_DRIFT El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de postura.
SECURITY_POSTURE_POLICY_DELETE El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DRIFT El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DELETE El servicio de postura de seguridad detectó que se borró un módulo personalizado de Security Health Analytics. Esta eliminación se produjo fuera de una actualización de postura.

Referencia de la asignación de campos

En esta sección, se explica cómo el analizador de Google Security Operations asigna los campos de registro de Security Command Center a los campos del Modelo de datos unificado (UDM) de Google Security Operations para los conjuntos de datos.

Referencia de la asignación de campos: campos de registro sin procesar a campos UDM

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los resultados de la Detección de eventos de amenazas de Security Command Center.

Campo RawLog Asignación de UDM Lógica
compliances.ids about.labels [compliance_ids] (obsoleto)
compliances.ids additional.fields [compliance_ids]
compliances.version about.labels [compliance_version] (obsoleto)
compliances.version additional.fields [compliance_version]
compliances.standard about.labels [compliances_standard] (obsoleto)
compliances.standard additional.fields [compliances_standard]
connections.destinationIp about.labels [connections_destination_ip] (obsoleto) Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de la UDM about.labels.value.
connections.destinationIp additional.fields [connections_destination_ip] Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM additional.fields.value.string_value.
connections.destinationPort about.labels [connections_destination_port] (obsoleto)
connections.destinationPort additional.fields [connections_destination_port]
connections.protocol about.labels [connections_protocol] (obsoleto)
connections.protocol additional.fields [connections_protocol]
connections.sourceIp about.labels [connections_source_ip] (obsoleto)
connections.sourceIp additional.fields [connections_source_ip]
connections.sourcePort about.labels [connections_source_port] (obsoleto)
connections.sourcePort additional.fields [connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type Si el valor del campo de registro message coincide con el patrón de expresión regular kubernetes, el campo UDM target.resource_ancestors.resource_type se establece en CLUSTER.
De lo contrario, si el valor del campo de registro message coincide con la expresión regular kubernetes.*?pods, el campo UDM target.resource_ancestors.resource_type se establece en POD.
about.resource.attribute.cloud.environment El campo de UDM about.resource.attribute.cloud.environment se establece en GOOGLE_CLOUD_PLATFORM.
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.pods.containers.createTime target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo de UDM extension.auth.type se establece en SSO.
extension.mechanism Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de UDM extension.mechanism se establece en USERNAME_PASSWORD.
extensions.auth.type Si el valor del campo de registro principal.user.user_authentication_status es igual a ACTIVE, el campo de la UDM extensions.auth.type se establece en SSO.
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto)
vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto)
vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto)
vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto)
vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto)
vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto)
vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto)
vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto)
vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto)
vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto)
vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.loadBalancerName se asigna al campo de UDM intermediary.resource.name.
intermediary.resource.resource_type Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de UDM intermediary.resource.resource_type se establece en BACKEND_SERVICE.
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Si el valor del campo de registro canonicalName no está vacío, finding_id se extrae del campo de registro canonicalName con un patrón Grok.

Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo UDM metadata.product_log_id.

Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo UDM metadata.product_log_id.
metadata.product_name El campo de UDM metadata.product_name se establece en Security Command Center.
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name El campo de UDM metadata.vendor_name se establece en Google.
network.application_protocol Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de UDM network.application_protocol se establece en DNS.
sourceProperties.properties.indicatorContext.asn network.asn Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.asn se asigna al campo de UDM network.asn.
sourceProperties.properties.indicatorContext.carrierName network.carrier_name Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.carrierName se asigna al campo de UDM network.carrier_name.
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain se asigna al campo de UDM network.dns_domain.
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass se asigna al campo de UDM network.dns.answers.class.
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data Si el valor del campo de registro category coincide con la expresión regular Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue se asigna al campo de UDM network.dns.answers.data.
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.domainName se asigna al campo de UDM network.dns.answers.name.
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.ttl se asigna al campo de UDM network.dns.answers.ttl.
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseType se asigna al campo de UDM network.dns.answers.type.
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.authAnswer se asigna al campo de UDM network.dns.authoritative.
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryName se asigna al campo de UDM network.dns.questions.name.
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryType se asigna al campo de UDM network.dns.questions.type.
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseCode se asigna al campo de UDM network.dns.response_code.
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent se asigna al campo de UDM network.http.user_agent.
sourceProperties.properties.callerUserAgent network.http.user_agent Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.callerUserAgent se asigna al campo de UDM network.http.user_agent.
access.userAgentFamily network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent se asigna al campo de UDM network.http.user_agent.
sourceProperties.properties.ipConnection.protocol network.ip_protocol Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo UDM network.ip_protocol se establece en uno de los siguientes valores:
  • ICMP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 1 o ICMP.
  • IGMP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 2 o IGMP.
  • TCP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 6 o TCP.
  • UDP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 17 o UDP.
  • IP6IN4 cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 41 o IP6IN4.
  • GRE cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 47 o GRE.
  • ESP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 50 o ESP.
  • EIGRP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 88 o EIGRP.
  • ETHERIP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 97 o ETHERIP.
  • PIM cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 103 o PIM.
  • VRRP cuando se cumple la siguiente condición:
    • El valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a 112 o VRRP.
  • UNKNOWN_IP_PROTOCOL si el valor del campo de registro sourceProperties.properties.ipConnection.protocol es igual a cualquier otro valor.
    sourceProperties.properties.indicatorContext.organizationName network.organization_name Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.organizationName se asigna al campo de UDM network.organization_name.
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod se asigna al campo de UDM network.session_duration.
    sourceProperties.properties.sourceIp principal.ip Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.sourceIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.attempts.sourceIp principal.ip Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo de UDM principal.ip.
    access.callerIp principal.ip Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography o Persistence: IAM Anomalous Grant, entonces el campo de registro access.callerIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.changeFromBadIp.ip principal.ip Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.ip se asigna al campo de UDM principal.ip.
    sourceProperties.properties.dnsContexts.sourceIp principal.ip Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.sourceIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.ipConnection.srcIp principal.ip Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, si el valor del campo de registro sourceProperties.properties.ipConnection.srcIp no es igual a sourceProperties.properties.indicatorContext.ipAddress, el campo de registro sourceProperties.properties.indicatorContext.ipAddress se asignará al campo UDM principal.ip.
    sourceProperties.properties.anomalousLocation.callerIp principal.ip Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.callerIp se asigna al campo de UDM principal.ip.
    sourceProperties.properties.scannerDomain principal.labels [sourceProperties_properties_scannerDomain] (obsoleto) Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo de la UDM principal.labels.key/value.
    sourceProperties.properties.scannerDomain additional.fields [sourceProperties_properties_scannerDomain] Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo de la UDM additional.fields.value.string_value.
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsoleto) Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna a los campos principal.labels.key/value y UDM.
    sourceProperties.properties.dataExfiltrationAttempt.jobState additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna al campo de UDM additional.fields.value.string_value.
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.countryCode se asigna al campo de UDM principal.location.country_or_region.
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location se asigna al campo de UDM principal.location.country_or_region.
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.location se asigna al campo de UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region Si el valor del campo de registro category es igual a Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier se asigna al campo de UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation se asigna al campo de UDM principal.location.name.
    sourceProperties.properties.ipConnection.srcPort principal.port Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcPort se asigna al campo de UDM principal.port.
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink se asigna al campo de UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId se asigna al campo de UDM principal.process.pid.
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.jobId se asigna al campo de UDM principal.process.pid.
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.subnetworkName se asigna al campo de UDM principal.resource_ancestors.attribute.labels.value.
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.projectId se asigna al campo de UDM principal.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM principal.resource_ancestors.name y el campo de UDM principal.resource_ancestors.resource_type se establece como VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM principal.resource.attribute.labels.key/value.
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name Si el valor del campo de registro sourceProperties.properties.projectId no está vacío, el campo de registro sourceProperties.properties.projectId se asigna al campo de la UDM principal.resource.name.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId se asigna al campo de UDM principal.resource.name.
    sourceProperties.properties.sourceInstanceDetails principal.resource.name Si el valor del campo de registro category es igual a Malware: Outgoing DoS, el campo de registro sourceProperties.properties.sourceInstanceDetails se asigna al campo de UDM principal.resource.name.
    principal.user.account_type Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo UDM principal.user.account_type se establece en SERVICE_ACCOUNT_TYPE.

    De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo UDM principal.user.account_type se establece en CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de UDM principal.user.attribute.labels.key se establece en rawUserAgent y el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent se asigna al campo de UDM principal.user.attribute.labels.value.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled o Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de registro sourceProperties.properties.principalEmail se asigna al campo de UDM principal.user.email_addresses.

    Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro sourceProperties.properties.principalEmail se asigna al campo UDM principal.user.email_addresses.
    access.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography, el campo de registro access.principalEmail se asigna al campo UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.userEmail se asigna al campo de UDM principal.user.email_addresses.
    sourceProperties.properties.ssoState principal.user.user_authentication_status Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo de registro sourceProperties.properties.ssoState se asigna al campo UDM principal.user.user_authentication_status.
    database.userName principal.user.userid Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.userName se asigna al campo de UDM principal.user.userid.
    sourceProperties.properties.threatIntelligenceSource security_result.about.application Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.threatIntelligenceSource se asigna al campo de UDM security_result.about.application.
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo de UDM security_result.about.ip.
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name.

    Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name, y el campo de UDM security_result.about.resource_type se establece como CLOUD_PROJECT.
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.allowedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece a BACKEND_SERVICE.
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece a BACKEND_SERVICE.
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.accessLevels.policyName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece a ACCESS_POLICY.
    security_result.about.user.attribute.roles.name Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se establece en security.

    Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo UDM security_result.about.user.attribute.roles.name se establece en Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de la UDM security_result.action se establece en BLOCK.

    Si el valor del campo de registro category es igual a Brute Force: SSH, y el valor del campo de registro sourceProperties.properties.attempts.authResult es igual a SUCCESS, el campo de la UDM security_result.action se establece en BLOCK.

    De lo contrario, el campo de la UDM security_result.action se establece en BLOCK.
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedResources.action se asigna al campo de UDM security_result.action_details.
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedServices.action se asigna al campo de UDM security_result.action_details.
    sourceProperties.properties.delta.allowedServices.action security_result.action_details Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.allowedServices.action se asigna al campo de UDM security_result.action_details.
    sourceProperties.properties.delta.accessLevels.action security_result.action_details Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.accessLevels.action se asigna al campo de UDM security_result.action_details.
    security_result.alert_state Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se establece en ALERTING.

    De lo contrario, el campo UDM security_result.alert_state se establece en NOT_ALERTING.
    findingClass security_result.catgory_details El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details.
    category security_result.catgory_details El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo de UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo de UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.authResult se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes se asigna al campo de UDM security_result.detection_fields.value.
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization o Initial Access: Log4j Compromise Attempt o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, entonces el campo de UDM security_result.detection_fields.key se establece en sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key, y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo UDM security_result.detection_fields.key/value.
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name se asigna al campo de UDM intermediary.labels.key.
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.description se asigna al campo de UDM intermediary.labels.value.
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal se asigna al campo de UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se establece en HIGH_PRIORITY.

    De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se establece en MEDIUM_PRIORITY.

    De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se establece en LOW_PRIORITY.
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary Si el valor del campo de registro category es igual a Exfiltration: BigQuery Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.violationReason se asigna al campo de UDM security_result.summary.
    name security_result.url_back_to_product
    database.query src.process.command_line Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo de UDM src.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.
    parent src.resource_ancestors.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro parent se asigna al campo de UDM src.resource_ancestors.name.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId se asigna al campo de UDM src.resource_ancestors.name y el campo de UDM src.resource_ancestors.resource_type se establece como TABLE.
    resourceName src.resource_ancestors.name Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name.
    resource.folders.resourceFolder src.resource_ancestors.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolder se asigna al campo de UDM src.resource_ancestors.name.
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.projectNumber se asigna al campo de UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.organizationNumber se asigna al campo de UDM src.resource_ancestors.product_object_id.
    resource.type src.resource_ancestors.resource_subtype Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo de UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se establece en grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.
    resource.displayName principal.hostname Si el valor del campo de registro resource.type coincide con el patrón de expresión regular (?i)google.compute.Instance or google.container.Cluster, el campo de registro resource.displayName se asigna al campo de UDM principal.hostname.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId se asigna al campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId se asigna al campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri se asigna al campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.backupId se asigna al campo de UDM src.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro src.resource.attribute.labels.key/value se asigna al campo de UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name.
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece como CloudSQL.
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece en CloudSQL.

    De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece en CloudSQL.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name.
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId se asigna al campo de UDM src.resource.product_object_id.
    access.serviceName target.application Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo de UDM target.application.
    sourceProperties.properties.serviceName target.application Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.serviceName se asigna al campo UDM target.application.
    sourceProperties.properties.domainName target.domain.name Si el valor del campo de registro category es igual a Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.domainName se asigna al campo de UDM target.domain.name.
    sourceProperties.properties.domains.0 target.domain.name Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.domains.0 se asigna al campo de UDM target.domain.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action se asigna al campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action se asigna al campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member se asigna al campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member se asigna al campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin se asigna al campo de UDM target.group.attribute.permissions.name.
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions se asigna al campo de UDM target.group.attribute.permissions.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName se asigna al campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role se asigna al campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role se asigna al campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName se asigna al campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName se asigna al campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName se asigna al campo de UDM target.group.group_display_name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName se asigna al campo de UDM target.group.group_display_name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName se asigna al campo de UDM target.group.group_display_name.
    sourceProperties.properties.ipConnection.destIp target.ip Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destIp se asigna al campo de UDM target.ip.
    access.methodName target.labels [access_methodName] (obsoleto)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsoleto)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsoleto)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsoleto)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsoleto)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsoleto)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsoleto)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsoleto)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsoleto)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsoleto)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsoleto)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsoleto)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsoleto)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsoleto)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels [sourceProperties_properties_methodName] (obsoleto) Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo UDM target.labels.value.
    sourceProperties.properties.methodName additional.fields [sourceProperties_properties_methodName] Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo UDM additional.fields.value.string_value.
    sourceProperties.properties.network.location target.location.name Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.network.location se asigna al campo UDM target.location.name.
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destPort se asigna al campo de UDM target.port.
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.query se asigna al campo de UDM target.process.command_line.
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] El campo de registro containers.labels.name se asigna al campo de UDM target.resource_ancestors.attribute.labels.key, y el campo de registro containers.labels.value se asigna al campo de UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.projectId se asigna al campo de UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.subnetworkName se asigna al campo de UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkName se asigna al campo de UDM target.resource_ancestors.value.
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkId se asigna al campo de UDM target.resource_ancestors.value.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    resourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.projectId target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    parent target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    containers.name target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource se asigna al campo de UDM target.resource_ancestors.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource se asigna al campo de UDM target.resource_ancestors.name.
    kubernetes.pods.containers.name target.resource_ancestors.name Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.

    De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.

    De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de registro sourceProperties.properties.gceInstanceId se asigna al campo de UDM target.resource_ancestors.product_object_id y el campo de UDM target.resource_ancestors.resource_type se establece como VIRTUAL_MACHINE.
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.
    containers.imageId target.resource_ancestors.product_object_id Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de la UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo de UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id El finding_id se extrae del campo de registro canonicalName con un patrón Grok.

    Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de la UDM src.resource.attribute.labels.key/value [finding_id].

    Si el valor del campo de registro category es igual a uno de los siguientes valores, se extrae finding_id del campo de registro canonicalName mediante un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.product_object_id.

    Si el valor del campo de registro category es igual a uno de los siguientes valores, se extrae source_id del campo de registro canonicalName mediante un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de la UDM src.resource.attribute.labels.key/value [source_id].

    Si el valor del campo de registro category es igual a uno de los siguientes valores, source_id se extrae del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM target.resource.attribute.labels.key/value [finding_id].

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, se extrae finding_id del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.product_object_id.

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, source_id se extrae del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.attribute.labels.key/value [source_id].

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, se extrae source_id del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de UDM target.resource.attribute.labels.key se establece en exportScope y el campo de registro sourceProperties.properties.exportToGcs.exportScope se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri se asigna al campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.metadataKeyOperation se asigna al campo de UDM target.resource.attribute.labels.key/value.
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo de UDM target.resource.attribute.labels.key/value.
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketAccess se asigna al campo de UDM target.resource.attribute.permissions.name.
    sourceProperties.properties.name target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    resourceName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.attempts.vmName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceDetails target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    exfiltration.targets.name target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceId target.resource.product_object_id Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.instanceId se asigna al campo de UDM target.resource.product_object_id.
    kubernetes.pods.containers.imageId target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.resource_subtype.

    De lo contrario, si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de UDM target.resource.resource_subtype se establece en Privileged Group.

    De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de UDM target.resource.resource_subtype se establece en BigQuery.
    target.resource.resource_type Si el valor del campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType coincide con la expresión regular BUCKET, el campo de UDM target.resource.resource_type se establece en STORAGE_BUCKET.

    De lo contrario, si el valor del campo de registro de category es igual a Brute Force: SSH, entonces el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.

    De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, entonces el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.

    De lo contrario, si el valor del campo de UDM de target.resource.resource_type es igual a VIRTUAL_MACHINE.

    De lo contrario, si el valor del campo de UDM de target.resource.resource_type es igual a {/}1.

    De lo contrario, si el valor del campo de UDM de target.resource.resource_type es igual a VIRTUAL_MACHINE.

    categoryExfiltration: BigQuery Data ExfiltrationTABLE
    sourceProperties.properties.extractionAttempt.jobLink target.url Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url.

    Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url.
    sourceProperties.properties.exportToGcs.gcsUri target.url Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.gcsUri se asigna al campo de UDM target.url.
    sourceProperties.properties.requestUrl target.url Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.requestUrl se asigna al campo de UDM target.url.
    sourceProperties.properties.policyLink target.url Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.policyLink se asigna al campo de UDM target.url.
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast se asigna al campo de UDM target.user.attribute.labels.value.
    sourceProperties.properties.attempts.username target.user.userid Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.username se asigna al campo de UDM target.user.userid.

    Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo UDM target.user.userid.
    sourceProperties.properties.principalEmail target.user.userid Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo de UDM target.user.userid.
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels [Environment_Variables_name] (obsoleto)
    sourceProperties.Environment_Variables additional.fields [Environment_Variables_name]
    target.labels [Environment_Variables_val] (obsoleto)
    additional.fields [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsoleto)
    sourceProperties.Process_Creation_Timestamp.nanos additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsoleto)
    sourceProperties.Process_Creation_Timestamp.seconds additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name Si el valor del campo de registro category es igual a Added Binary Executed o Added Library Loaded, el campo de registro sourceProperties.VM_Instance_Name se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de registro sourceProperties.Backend_Service se asigna al campo de UDM target.resource.name, y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de la UDM target.resource.resource_type se establece en BACKEND_SERVICE.

    Si el valor del campo de registro category es igual a Configurable Bad Domain, el campo de la UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.
    is_alert Si el valor del campo de registro state es igual a ACTIVE, si el valor del campo mute_is_not_present no es igual a verdadero y (el valor del campo de registro mute es igual a UNMUTED o el valor del campo de registro mute es igual a UNDEFINED), el campo de la UDM is_alert se establece en true. De lo contrario, el campo de la UDM is_alert se establece en false.
    is_significant Si el valor del campo de registro state es igual a ACTIVE, si el valor del campo mute_is_not_present no es igual a verdadero y (el valor del campo de registro mute es igual a UNMUTED o el valor del campo de registro mute es igual a UNDEFINED), el campo de la UDM is_significant se establece en true. De lo contrario, el campo de la UDM is_significant se establece en false.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok: Se extrae user_id del campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail y, luego, el campo user_id se asigna al campo de UDM principal.user.userid.
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok : se extrajo user_id del campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail y, luego, el campo user_id se asigna al campo de UDM principal.user.userid.
    resourceName principal.asset.location.name Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, entonces Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y el campo de registro region se asigna al campo de UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, entonces Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y el campo de registro asset_prod_obj_id se asigna al campo de UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, entonces Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id del campo de registro resourceName, el campo de registro zone_suffix se asigna al campo UDM principal.asset.attribute.cloud.availability_zone.
    resourceName principal.asset.attribute.labels[project_name] Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, entonces Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id del campo de registro resourceName, el campo de registro project_name se asigna al campo UDM principal.asset.attribute.labels.value.
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.methodName se asigna al campo de la UDM target.labels.
    additional.fields[failedActions_methodName] sourceProperties.properties.failedActions.methodName Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, El campo de registro sourceProperties.properties.failedActions.methodName es asignado al campo de UDM additional.fields.
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, El campo de registro sourceProperties.properties.failedActions.serviceName es asignado al campo de UDM target.labels.
    additional.fields[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, El campo de registro sourceProperties.properties.failedActions.serviceName es asignado al campo de UDM additional.fields.
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, El campo de registro sourceProperties.properties.failedActions.attemptTimes es asignado al campo de UDM target.labels.
    additional.fields[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, El campo de registro sourceProperties.properties.failedActions.attemptTimes es asignado al campo de UDM additional.fields.
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, Campo de registro sourceProperties.properties.failedActions.lastOccurredTime se asigna al campo de UDM target.labels.
    additional.fields[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions y, luego, Campo de registro sourceProperties.properties.failedActions.lastOccurredTime. se asigna al campo de UDM additional.fields.

    Referencia de la asignación de campos: identificador de evento para tipo de evento

    Identificador de evento Tipo de evento Categoría de seguridad
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED EXPLORA
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED EXPLORA
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    Las siguientes tablas contienen los tipos de eventos y la asignación de campos de UDM para Security Command Center: clases de resultados VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.

    De la categoría VULNERABILITY al tipo de evento UDM

    En la siguiente tabla, se indica la categoría VULNERABILITY y sus tipos de eventos UDM correspondientes.

    Identificador de evento Tipo de evento Categoría de seguridad
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK EXPLOIT
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED
    SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS

    De la categoría MISCONFIGURATION a tipo de evento UDM

    En la siguiente tabla, se muestra la categoría MISCONFIGURATION y sus correspondientes tipos de eventos de la AUA.

    Identificador de evento Tipo de evento
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    Categoría de OBSERVACIÓN al tipo de evento UDM

    En la siguiente tabla, se muestra la categoría OBSERVACIÓN y sus correspondientes tipos de eventos de la AUA.

    Identificador de evento Tipo de evento
    Persistencia: Se agregó la clave SSH al proyecto SETTING_MODIFICATION
    Persistencia: Agrega un rol sensible RESOURCE_PERMISSIONS_CHANGE
    Impacto: Se creó la instancia de GPU USER_RESOURCE_CREATION
    Impacto: se crearon muchas instancias USER_RESOURCE_CREATION

    Categoría ERROR a tipo de evento UDM

    En la siguiente tabla, se indica la categoría ERROR y sus tipos de eventos de UDM correspondientes.

    Identificador de evento Tipo de evento
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    Categoría UNSPECIFIED a tipo de evento UDM

    En la siguiente tabla, se indica la categoría UNSPECIFIED y sus tipos de eventos UDM correspondientes.

    Identificador de evento Tipo de evento Categoría de seguridad
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    POSTURE_VIOLATION al tipo de evento UDM

    En la siguiente tabla, se enumera la categoría POSTURE_VIOLATION y sus correspondientes tipos de eventos de la UDM.

    Identificador de evento Tipo de evento
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    Referencia de la asignación de campos: VULNERABILITY

    En la siguiente tabla, se enumeran los campos de registro de la categoría VULNERABILIDAD y sus campos de UDM correspondientes.

    Campo RawLog Asignación de UDM Lógica
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [nombre_de_fuente]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    category extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name Se extrajo region de resourceName con un patrón Grok y se asignó al campo UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id Se extrajo asset_prod_obj_id de resourceName con un patrón Grok y se asignó al campo UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Se extrajo zone_suffix de resourceName con un patrón Grok y se asignó al campo UDM principal.asset.attribute.cloud.availability_zone.
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    Referencia de asignación de campos: MISCONFIGURATION

    En la siguiente tabla, se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos UDM correspondientes.

    Campo RawLog Asignación de UDM
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    Referencia de la asignación de campo: OBSERVATION

    En la siguiente tabla, se enumeran los campos de registro de la categoría OBSERVACIÓN y sus campos de UDM correspondientes.

    Campo RawLog Asignación de UDM
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [nombre_de_elemento]
    assetId target.asset.asset_id

    Referencia de la asignación de campos: ERROR

    La siguiente tabla incluye los campos de registro de la categoría ERROR y sus campos UDM correspondientes.

    Campo RawLog Asignación de UDM
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Referencia de la asignación de campo: UNSPECIFIED

    La siguiente tabla incluye los campos de registro de la categoría UNSPECIFIED y sus campos UDM correspondientes.

    Campo RawLog Asignación de UDM
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Referencia de la asignación de campo: POSTURE_VIOLATION

    La siguiente tabla incluye los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.

    Campo de registro Asignación de UDM Lógica
    finding.resourceName target.resource_ancestors.name Si el valor del campo de registro finding.resourceName no está vacío, el campo de registro finding.resourceName se asigna al campo de UDM target.resource.name.

    El campo project_name se extrae del campo de registro finding.resourceName con el patrón Grok.

    Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo UDM target.resource_ancestors.name.
    resourceName target.resource_ancestors.name Si el valor del campo de registro resourceName no está vacío, el campo de registro resourceName se asigna al campo de UDM target.resource.name.

    El campo project_name se extrae del campo de registro resourceName con el patrón Grok.

    Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo UDM target.resource_ancestors.name.
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment Si el valor del campo de registro finding.cloudProvider contiene uno de los siguientes valores, el campo de registro finding.cloudProvider se asigna al campo de UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    cloudProvider about.resource.attribute.cloud.environment Si el valor del campo de registro cloudProvider contiene uno de los siguientes valores, el campo de registro cloudProvider se asigna al campo de UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.cloudProvider target.resource.attribute.cloud.environment Si el valor del campo de registro resource.cloudProvider contiene uno de los siguientes valores, el campo de registro resource.cloudProvider se asigna al campo de la UDM target.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    Campos comunes: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

    En la siguiente tabla, se enumeran los campos comunes de las categorías VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION y TOXIC_COMBINATION de las categorías VULNERABILITY, MISCONFIGURATION, TOXIC_COMBINATION y sus campos UDM correspondientes.

    Campo RawLog Asignación de UDM Lógica
    compliances.ids about.labels [compliance_ids] (obsoleto)
    compliances.ids additional.fields [compliance_ids]
    compliances.version about.labels [compliance_version] (obsoleto)
    compliances.version additional.fields [compliance_version]
    compliances.standard about.labels [compliances_standard] (obsoleto)
    compliances.standard additional.fields [compliances_standard]
    connections.destinationIp about.labels [connections_destination_ip] (obsoleto) Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM about.labels.value.
    connections.destinationIp additional.fields [connections_destination_ip] Si el valor del campo de registro connections.destinationIp no es igual a sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo de UDM additional.fields.value.
    connections.destinationPort about.labels [connections_destination_port] (obsoleto)
    connections.destinationPort additional.fields [connections_destination_port]
    connections.protocol about.labels [connections_protocol] (obsoleto)
    connections.protocol additional.fields [connections_protocol]
    connections.sourceIp about.labels [connections_source_ip] (obsoleto)
    connections.sourceIp additional.fields [connections_source_ip]
    connections.sourcePort about.labels [connections_source_port] (obsoleto)
    connections.sourcePort additional.fields [connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type El campo de UDM target.resource_ancestors.resource_type se establece en CLUSTER.
    about.resource.attribute.cloud.environment El campo UDM about.resource.attribute.cloud.environment se establece como GOOGLE_CLOUD_PLATFORM.
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto)
    vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto)
    vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto)
    vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto)
    vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto)
    vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto)
    vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto)
    vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto)
    vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto)
    vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto)
    vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    vulnerability.cve.impact extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]
    vulnerability.cve.exploitationActivity extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Si el valor del campo de registro canonicalName no está vacío, el finding_id se extrae del campo de registro canonicalName con un patrón Grok.

    Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de la UDM metadata.product_log_id.

    Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo de la UDM metadata.product_log_id.
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo de UDM principal.resource.attribute.labels.value.
    resource.projectName principal.resource.name
    principal.user.account_type Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo UDM principal.user.account_type se establece en SERVICE_ACCOUNT_TYPE.

    De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo UDM principal.user.account_type se establece en CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se establece en security.

    Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo UDM security_result.about.user.attribute.roles.name se establece en Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se establece en ALERTING.

    De lo contrario, el campo UDM security_result.alert_state se establece en NOT_ALERTING.
    findingClass, category security_result.catgory_details El campo de registro findingClass - category se asigna al campo de UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo de UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo de UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization o Initial Access: Log4j Compromise Attempt o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, entonces el campo de UDM security_result.detection_fields.key se establece en sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key, y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se establece en HIGH_PRIORITY.

    De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se establece en MEDIUM_PRIORITY.

    De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se establece en LOW_PRIORITY.
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo de UDM src.process.command_line.

    De lo contrario, el campo de registro database.query se asigna al campo de UDM target.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.value.

    De lo contrario, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.

    De lo contrario, el campo de registro resource.parentDisplayName se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo de la UDM src.resource_ancestors.attribute.labels.key/value.

    De lo contrario, el campo de registro resource.parentName se asigna al campo de la UDM target.resource.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo de UDM src.resource_ancestors.attribute.labels.key/value.

    De lo contrario, el campo de registro resource.projectDisplayName se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo de UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se establece en grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.

    De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.

    De lo contrario, el campo de registro resource.display_name se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo de UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.

    De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value.
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de la UDM src.resource.attribute.labels.value.

    De lo contrario, el campo de registro resource.display_name se asigna al campo de la UDM target.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.sources.components se asigna al campo de UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro resourceName se asigna al campo de UDM src.resource.name.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant o Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo UDM target.application.
    access.methodName target.labels [access_methodName] (obsoleto)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsoleto)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsoleto)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsoleto)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsoleto)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsoleto)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsoleto)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsoleto)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsoleto)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsoleto)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsoleto)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsoleto)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsoleto)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsoleto)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo de UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id El finding_id se extrae del campo de registro canonicalName con un patrón Grok.

    Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de la UDM src.resource.attribute.labels.key/value [finding_id].

    Si el valor del campo de registro category es igual a uno de los siguientes valores, se extrae finding_id del campo de registro canonicalName mediante un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM src.resource.product_object_id.

    Si el valor del campo de registro category es igual a uno de los siguientes valores, se extrae source_id del campo de registro canonicalName mediante un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de la UDM src.resource.attribute.labels.key/value [source_id].

    Si el valor del campo de registro category es igual a uno de los siguientes valores, source_id se extrae del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo de UDM target.resource.attribute.labels.key/value [finding_id].

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, se extrae finding_id del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.product_object_id.

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, source_id se extrae del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo de UDM target.resource.attribute.labels.key/value [source_id].

    Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, se extrae source_id del campo de registro canonicalName con un patrón Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo de UDM target.resource.attribute.labels.key/value.
    resourceName
    exfiltration.targets.name
    target.resource.name Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.

    De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.

    De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.

    De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.

    De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name.
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RegionCode, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.location.country_or_region.
    sourceProperties.Header_Signature.significantValues.value principal.ip Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RemoteHost, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.ip.
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a UserAgent, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM network.http.user_agent.
    sourceProperties.Header_Signature.significantValues.value principal.url Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RequestUriPath, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.url.
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.compromised_account se asigna al campo de UDM principal.user.userid y el campo de UDM principal.user.account_type se establece en SERVICE_ACCOUNT_TYPE.
    sourceProperties.project_identifier principal.resource.product_object_id Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.project_identifier se asigna al campo de UDM principal.resource.product_object_id.
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.private_key_identifier se asigna al campo de UDM principal.user.attribute.labels.value.
    sourceProperties.action_taken principal.labels [action_taken] (obsoleto) Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM principal.labels.value.
    sourceProperties.action_taken additional.fields [action_taken] Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM additional.fields.value.
    sourceProperties.finding_type principal.labels [finding_type] (obsoleto) Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM principal.labels.value.
    sourceProperties.finding_type additional.fields [finding_type] Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM additional.fields.value.
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.url se asigna al campo de UDM principal.user.attribute.labels.value.
    sourceProperties.security_result.summary security_result.summary Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.security_result.summary se asigna al campo de UDM security_result.summary.
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] vulnerability.offendingPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] vulnerability.offendingPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] vulnerability.offendingPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] vulnerability.offendingPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] vulnerability.fixedPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] vulnerability.fixedPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] vulnerability.fixedPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] vulnerability.fixedPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] vulnerability.securityBulletin.bulletinId
    security_result.detection_fields[vulnerability_securityBulletin_submissionTime] vulnerability.securityBulletin.submissionTime
    security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] vulnerability.securityBulletin.suggestedUpgradeVersion
    target.location.name resource.location
    additional.fields[resource_service] resource.service
    target.resource_ancestors.attribute.labels[kubernetes_object_kind] kubernetes.objects.kind
    target.resource_ancestors.name kubernetes.objects.name
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] kubernetes.objects.ns
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] kubernetes.objects.group

    ¿Qué sigue?