Recopila hallazgos de Security Command Center
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de Security Command Center configurando Security Command Center y transfiriendo resultados a Google Security Operations. En este documento, también se enumeran los eventos admitidos.
Para obtener más información, consulta Transferencia de datos a Google Security Operations y Exportación de resultados de Security Command Center a Google Security Operations. Una implementación típica consta de Security Command Center y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación para el cliente puede ser diferente y más compleja.
La implementación contiene los siguientes componentes:
Google Cloud: Es el sistema que se supervisará y en el que se instalará Security Command Center.
Resultados de Event Threat Detection de Security Command Center: Recopila información de la fuente de datos y genera resultados.
Google Security Operations: Conserva y analiza los registros de Security Command Center.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de transferencia:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configura Security Command Center y Google Cloud para enviar los resultados a Google Security Operations
Asegúrate de que todos los sistemas de la implementación estén configurados en la zona horaria UTC.
Habilita la transferencia de hallazgos de Security Command Center.
Hallazgos compatibles de Event Threat Detection
En esta sección, se enumeran los hallazgos admitidos de Event Threat Detection. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta Reglas de Event Threat Detection.
| Buscando nombre | Descripción |
|---|---|
| Análisis activo: Log4j es vulnerable a RCE | Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos. |
| Ataques de fuerza bruta: SSH | Detección de fuerza bruta SSH exitosa en un host |
| Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios | Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios en Grupos de Google no seguros. |
| Acceso a las credenciales: Grupo privilegiado abierto al público | Detecta cuando un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles) se cambia para que sea accesible al público en general. Para obtener más información, consulta Cambios en Grupos de Google no seguros. |
| Acceso a las credenciales: Función sensible otorgada al grupo híbrido | Detecta cuándo se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios en Grupos de Google no seguros. |
| Defense Evasion: Modifica el Control de servicios de VPC | Detecta un cambio en un perímetro de Control del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro. |
| Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensiblesPreview | Un agente malicioso intentó determinar qué objetos sensibles en Google Kubernetes Engine (GKE) puede consultar con el comando kubectl auth can-i get. |
| Descubrimiento: Autoinvestigación de cuentas de servicio | Se detectó una credencial de cuenta de servicio de Identity and Access Management (IAM) que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio. |
| Evasión: Acceso desde un proxy de anonimización | Detección de modificaciones del servicio Google Cloud que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor |
| Robo de datos: Robo de datos de BigQuery | Detecta las siguientes situaciones:
|
| Robo de datos: Extracción de datos de BigQuery | Detecta las siguientes situaciones:
|
| Robo de datos: datos de BigQuery en Google Drive | Detecta las siguientes situaciones:
Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive. |
| Robo de datos: Robo de datos de Cloud SQL | Detecta las siguientes situaciones:
|
| Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Detecta cuándo la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización. |
| Robo de datos: Otorgamiento con exceso de privilegios de SQL de Cloud SQL | Detecta cuando un usuario o un rol de Cloud SQL Postgres tiene todos los privilegios en una base de datos o todas las tablas, los procedimientos o las funciones de un esquema. |
| Inhabilita las defensas: Autenticación segura inhabilitada | Se inhabilitó la verificación en dos pasos para la organización. |
| Inhabilita las defensas: Verificación en dos pasos inhabilitada | Un usuario inhabilitó la verificación en 2 pasos. |
| Acceso inicial: Usurpación de cuenta inhabilitada | Se suspendió la cuenta de un usuario debido a una actividad sospechosa. |
| Acceso inicial: Filtrado de contraseña inhabilitada | Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas. |
| Acceso inicial: Ataque basado en el Gobierno | Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora. |
| Acceso inicial: Intento de compromiso de Log4j | Detecta búsquedas de Java Naming and Directory Interface (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso. |
| Acceso inicial: Acceso sospechoso bloqueado | Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario. |
| Software malicioso de Log4j: Error de dominio | Detección del tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una consulta sobre este. |
| Software malicioso de Log4j: IP incorrecta | Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j. |
| Software malicioso: error de dominio | Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él |
| Software malicioso: error de IP | Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida |
| Software malicioso: Error de criptominería en un dominio | Detección de criptominería basada en una conexión a un dominio de minería de criptomonedas conocido o una búsqueda de él |
| Software malicioso: Criptominería de IP incorrecta | Detección de minería de criptomonedas basada en una conexión a una dirección IP de minería conocida |
| DoS Salientes | Detección del tráfico saliente de denegación del servicio |
| El administrador de Compute Engine agregó la clave SSH | Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana). |
| Administrador de Compute Engine agregó una secuencia de comandos de inicio | Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana). |
| Persistencia: Otorgamiento anómalo de IAM | Detección de privilegios otorgados a usuarios y cuentas de servicio de IAM que no son miembros de la organización. Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado. |
| Persistencia: Nuevo método de API (vista previa) | Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM |
| Persistencia: Nueva geografía | Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes |
| Persistencia: Usuario-agente nuevo | Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos |
| Persistencia: Activación o desactivación de SSO | Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador. |
| Persistencia: Configuración de SSO cambiada | Se cambió la configuración de SSO para la cuenta de administrador. |
| Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes (versión preliminar) | Para elevar privilegios, un agente malicioso intentó modificar los objetos ClusterRole y ClusterRoleBinding de cluster-admin con una solicitud PUT o PATCH. |
| Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principalPreview | Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le da acceso de administrador del clúster. |
| Elevación de privilegios: Creación de vinculaciones sensibles de Kubernetes (vista previa) | Un agente malicioso intentó crear nuevos objetos RoleBinding o ClusterRoleBinding de administrador del clúster para elevar sus privilegios. |
| Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidasVista previa | Un agente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas. |
| Elevación de privilegios: Lanzamiento de un contenedor de Kubernetes con privilegios (vista previa) | Un agente malicioso creó Pods que contienen contenedores con privilegios o contenedores con capacidades de elevación de privilegios.
Un contenedor con privilegios tiene el campo de privilegios configurado como verdadero. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como verdadero. |
| Acceso inicial: Se creó la clave de cuenta de servicio inactiva | Detecta eventos en los que se crea una clave para una cuenta de servicio administrada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se usó durante más de 180 días. |
| Árbol de procesos | El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un shell binario, el detector verifica su proceso principal. Si el proceso principal es un archivo binario que no debería generar un proceso de shell, el detector activa un hallazgo. |
| Shell secundaria inesperada | El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un shell binario, el detector verifica su proceso principal. Si el proceso principal es un archivo binario que no debería generar un proceso de shell, el detector activa un hallazgo. |
| Ejecución: Se ejecutó el objeto binario malicioso agregado | El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Se ejecutó un objeto binario malicioso modificado | El detector busca un objeto binario en ejecución que se incluyó originalmente en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución y se identificó como malicioso según la inteligencia sobre amenazas. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity | Detecta cuando se encuentra una solicitud delegada anómala de varios pasos para una actividad administrativa. |
| Se usó una cuenta de anulación de emergencia: break_glass_account | Detecta el uso de una cuenta de acceso de emergencia (anulación de emergencia). |
| Mal dominio configurable: APT29_Domains | Detecta una conexión a un nombre de dominio especificado. |
| Otorgamiento de rol inesperado: Roles prohibidos | Detecta cuándo se otorga un rol especificado a un usuario. |
| IP incorrecta configurable | Detecta una conexión a una dirección IP especificada. |
| Tipo de instancia de Compute Engine inesperado | Detecta la creación de instancias de Compute Engine que no coinciden con un tipo de instancia o una configuración especificados. |
| Imagen de origen inesperada de Compute Engine | Detecta la creación de una instancia de Compute Engine con una imagen o familia de imágenes que no coincide con una lista especificada. |
| Región inesperada de Compute Engine | Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada. |
| Rol personalizado con permiso prohibido | Detecta cuándo se otorga a una principal un rol personalizado con cualquiera de los permisos de IAM especificados. |
| Llamada inesperada a la API de Cloud | Detecta cuándo una principal especificada llama a un método especificado en un recurso especificado. Solo se genera un hallazgo si todas las expresiones regulares coinciden en una sola entrada de registro. |
Resultados de GCP_SECURITYCENTER_ERROR admitidos
Puedes encontrar la asignación del UDM en la tabla Referencia de asignación de campos: ERROR.
| Buscando nombre | Descripción |
|---|---|
| VPC_SC_RESTRICTION | Las estadísticas del estado de seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging. |
| API_DISABLED | La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | No se puede habilitar la detección de amenazas a contenedores en el clúster porque no se puede extraer (descargar) una imagen de contenedor obligatoria de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere la detección de amenazas a contenedores. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | No se puede habilitar la detección de amenazas a contenedores en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere la detección de amenazas a contenedores.
Cuando se ven en la consola de Google Cloud , los detalles del hallazgo incluyen el mensaje de error que devolvió Google Kubernetes Engine cuando la detección de amenazas a contenedores intentó implementar un objeto DaemonSet de detección de amenazas a contenedores. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. Es posible que Container Threat Detection deje de funcionar correctamente porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar correctamente. No se producen resultados. |
Resultados compatibles de GCP_SECURITYCENTER_OBSERVATION
Puedes encontrar la asignación del UDM en la tabla Referencia de asignación de campos: OBSERVATION.
| Buscando nombre | Descripción |
|---|---|
| Persistencia: Se agregó la clave SSH del proyecto | Se creó una clave SSH a nivel del proyecto en un proyecto que tiene más de 10 días de antigüedad. |
| Persistencia: Agrega un rol sensible | Se otorgó un rol de IAM sensible o con muchos privilegios a nivel de la organización en una organización que tiene más de 10 días de antigüedad. |
Resultados compatibles de GCP_SECURITYCENTER_UNSPECIFIED
Puedes encontrar la asignación del UDM en la tabla Referencia de asignación de campos: UNSPECIFIED.
| Buscando nombre | Descripción |
|---|---|
| OPEN_FIREWALL | Un firewall está configurado para estar abierto al acceso público. |
Resultados de GCP_SECURITYCENTER_VULNERABILITY admitidos
Puedes encontrar la asignación del UDM en la tabla Field mapping reference: VULNERABILITY.
| Buscando nombre | Descripción |
|---|---|
| DISK_CSEK_DISABLED | Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales. |
| ALPHA_CLUSTER_ENABLED | Las funciones del clúster Alfa están habilitadas para un clúster de GKE. |
| AUTO_REPAIR_DISABLED | Se inhabilita la función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado. |
| AUTO_UPGRADE_DISABLED | Se inhabilita una función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes. |
| CLUSTER_SHIELDED_NODES_DISABLED | Los nodos de GKE protegidos no están habilitados para un clúster |
| COS_NOT_USED | Las VMs de Compute Engine no usan Container-Optimized OS, que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura. |
| INTEGRITY_MONITORING_DISABLED | La supervisión de integridad está inhabilitada para un clúster de GKE. |
| IP_ALIAS_DISABLED | Se creó un clúster de GKE con los rangos de IP de alias inhabilitados. |
| LEGACY_METADATA_ENABLED | Los metadatos heredados están habilitados en los clústeres de GKE. |
| RELEASE_CHANNEL_DISABLED | Un clúster de GKE no está suscrito a un canal de versiones. |
| DATAPROC_IMAGE_OUTDATED | Se creó un clúster de Dataproc con una versión de imagen de Dataproc que se ve afectada por las vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046). |
| PUBLIC_DATASET | Un conjunto de datos está configurado para estar abierto al acceso público. |
| DNSSEC_DISABLED | DNSSEC está inhabilitado para las zonas de Cloud DNS. |
| RSASHA1_FOR_SIGNING | RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS. |
| REDIS_ROLE_USED_ON_ORG | Una función de IAM de Redis se asigna a nivel de organización o carpeta. |
| KMS_PUBLIC_KEY | Una clave criptográfica de Cloud KMS es de acceso público. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_EXTERNAL_SCRIPTS_ENABLED | La marca de base de datos external scripts enabled para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_LOCAL_INFILE | La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está configurada como desactivada. |
| SQL_LOG_ERROR_VERBOSITY | La marca de base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como predeterminada o más estricta. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en “-1”. |
| SQL_LOG_MIN_ERROR_STATEMENT | La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró correctamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado. |
| SQL_LOG_MIN_MESSAGES | La marca de base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como advertencia. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | La marca de base de datos log_executor_status para una instancia de Cloud SQL para PostgreSQL no está configurada como desactivada. |
| SQL_LOG_HOSTNAME_ENABLED | La marca de base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está configurada como desactivada. |
| SQL_LOG_PARSER_STATS_ENABLED | La marca de base de datos log_parser_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada. |
| SQL_LOG_PLANNER_STATS_ENABLED | La marca de base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada. |
| SQL_LOG_STATEMENT_STATS_ENABLED | La marca de base de datos log_statement_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada. |
| SQL_LOG_TEMP_FILES | La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”. |
| SQL_REMOTE_ACCESS_ENABLED | La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está configurada como activada. |
| SQL_TRACE_FLAG_3625 | La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está configurada como activada. |
| SQL_USER_CONNECTIONS_CONFIGURED | Se configura la marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server. |
| SQL_USER_OPTIONS_CONFIGURED | Se configura la marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server. |
| SQL_WEAK_ROOT_PASSWORD | Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| PUBLIC_LOG_BUCKET | Un bucket de almacenamiento que se usa como receptor de registros es de acceso público. |
| ACCESSIBLE_GIT_REPOSITORY | Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. |
| ACCESSIBLE_ENV_FILE | Un archivo .env se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el archivo ENV. |
| CACHEABLE_PASSWORD_INPUT | Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro. |
| CLEAR_TEXT_PASSWORD | Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este problema, encripta la contraseña que se transmite a través de la red. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este problema, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith("".google.com""). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este problema, valida que el dominio esperado coincida por completo con el valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals("".google.com""). |
| INVALID_CONTENT_TYPE | Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este problema, configura el encabezado HTTP X-Content-Type-Options con el valor correcto. |
| INVALID_HEADER | Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. |
| MISMATCHING_SECURITY_HEADER_VALUES | Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. |
| MISSPELLED_SECURITY_HEADER_NAME | Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. |
| MIXED_CONTENT | Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este problema, asegúrate de que todos los recursos se entreguen a través de HTTPS. |
| OUTDATED_LIBRARY | Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. |
| SERVER_SIDE_REQUEST_FORGERY | Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes. |
| SESSION_ID_LEAK | Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud Referer. Esta vulnerabilidad le otorga al dominio receptor acceso al identificador de sesión, que se puede usar para actuar como el usuario o identificarlo de forma única. |
| SQL_INJECTION | Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este problema, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta en SQL. |
| STRUTS_INSECURE_DESERIALIZATION | Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente. |
| XSS | Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. |
| XSS_ANGULAR_CALLBACK | La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver este problema, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. |
| XSS_ERROR | Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. |
| XXE_REFLECTED_FILE_LEAKAGE | Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este problema, configura tus analizadores de XML para que no permitan entidades externas. |
| BASIC_AUTHENTICATION_ENABLED | Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada. |
| LABELS_NOT_USED | Las etiquetas se pueden usar para desglosar los datos de facturación. |
| PUBLIC_STORAGE_OBJECT | La LCA del objeto de almacenamiento no debe otorgar acceso a allUsers. |
| SQL_BROAD_ROOT_LOGIN | El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables. |
| WEAK_CREDENTIALS | Este detector verifica si hay credenciales débiles con métodos de fuerza bruta de ncrack.
Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
| ELASTICSEARCH_API_EXPOSED | La API de Elasticsearch permite que los llamadores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio. |
| EXPOSED_GRAFANA_ENDPOINT | En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido de directorio que permite a cualquier usuario leer cualquier archivo en el servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. |
| EXPOSED_METABASE | Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y una posible inclusión de archivos locales, incluidas las variables de entorno. No se validaron las URLs antes de cargarlas. Para obtener más información, consulta CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Este detector verifica si se exponen los extremos sensibles de Actuator de las aplicaciones de Spring Boot. Algunos de los extremos predeterminados, como /heapdump, podrían exponer información sensible. Otros extremos, como /env, podrían provocar la ejecución remota de código. Actualmente, solo se verifica /heapdump. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticado. |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos de aplicaciones de Java. Ejecutar JMX con un extremo de invocación de método remoto no protegido permite que cualquier usuario remoto cree un MBean javax.management.loading.MLet y lo use para crear nuevos MBeans a partir de URLs arbitrarias. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Este detector verifica si se expone un notebook de Jupyter sin autenticar. Por diseño, Jupyter permite la ejecución remota de código en la máquina anfitrión. Un notebook de Jupyter sin autenticar pone en riesgo la VM de hosting de ejecución de código remoto. |
| KUBERNETES_API_EXPOSED | La API de Kubernetes está expuesta y los llamadores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Este detector verifica si una instalación de WordPress está incompleta. Una instalación de WordPress sin terminar expone la página /wp-admin/install.php, que permite que los atacantes establezcan la contraseña de administrador y, posiblemente, pongan en riesgo el sistema. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Este detector verifica si hay una instancia de Jenkins no autenticada enviando un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían provocar la ejecución remota de código. |
| APACHE_HTTPD_RCE | Se encontró una falla en Apache HTTP Server 2.4.49 que permite que un atacante use un ataque de recorrido de ruta para asignar URLs a archivos fuera de la raíz del documento esperada y ver el código fuente de los archivos interpretados, como las secuencias de comandos CGI. Se sabe que este problema se explota en la naturaleza. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta los siguientes recursos: |
| APACHE_HTTPD_SSRF | Los atacantes pueden crear un URI para el servidor web de Apache que haga que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el atacante. Este problema afecta al servidor HTTP Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta los siguientes recursos: |
| CONSUL_RCE | Los atacantes pueden ejecutar código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks establecido en verdadero y la API de HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las verificaciones de secuencia de comandos están activadas de forma predeterminada. Para obtener más información, consulta Cómo proteger Consul del riesgo de RCE en configuraciones específicas. Para verificar esta vulnerabilidad, la Detección rápida de vulnerabilidades registra un servicio en la instancia de Consul con el extremo de REST /v1/health/service, que luego ejecuta una de las siguientes acciones: * Un comando curl a un servidor remoto fuera de la red Un atacante puede usar el comando curl para robar datos del servidor. * Un comando printf Luego, la Detección rápida de vulnerabilidades verifica el resultado del comando con el extremo de REST /v1/health/service. * Después de la verificación, la Detección rápida de vulnerabilidades limpia y anula el registro del servicio con el extremo REST /v1/agent/service/deregister/. |
| DRUID_RCE | Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario y que está integrado en varios tipos de solicitudes. Esta función está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta CVE-2021-25646 Detail. |
| DRUPAL_RCE | Las versiones de Drupal anteriores a la 7.58, las versiones 8.x anteriores a la 8.3.9, las versiones 8.4.x anteriores a la 8.4.6 y las versiones 8.5.x anteriores a la 8.5.1 son vulnerables a la ejecución remota de código en las solicitudes AJAX de la API de Forms. Las versiones de Drupal 8.5.x anteriores a la 8.5.11 y 8.6.x anteriores a la 8.6.10 son vulnerables a la ejecución de código remoto cuando se habilita el módulo de servicio web RESTful o la API de JSON:API. Un atacante no autenticado puede aprovechar esta vulnerabilidad con una solicitud POST personalizada. |
| FLINK_FILE_DISCLOSURE | Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local del JobManager a través de la interfaz REST del proceso de JobManager. El acceso se restringe a los archivos a los que puede acceder el proceso de JobManager. |
| GITLAB_RCE | En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida correctamente los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos de forma remota. |
| GoCD_RCE | En GoCD 21.2.0 y versiones anteriores, hay un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de recorrido de directorios que permite que un usuario lea cualquier archivo del servidor sin autenticación. |
| JENKINS_RCE | Las versiones 2.56 y anteriores de Jenkins, y las versiones 2.46.1 de LTS y anteriores son vulnerables a la ejecución remota de código. Un atacante no autenticado puede activar esta vulnerabilidad con un objeto Java serializado malicioso. |
| JOOMLA_RCE | Las versiones 1.5.x, 2.x y 3.x de Joomla anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar con un encabezado manipulado que contenga objetos PHP serializados. Las versiones de Joomla 3.0.0 a 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar enviando una solicitud POST que contenga un objeto PHP serializado manipulado. |
| LOG4J_RCE | En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante ni otros extremos relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT hasta la versión 2.3.0 permite el restablecimiento arbitrario de contraseñas y el acceso de administrador no autenticado proporcionando un valor confirm_hash vacío a verify.php. |
| OGNL_RCE | Las instancias de Confluence Server y Data Center contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084. |
| OPENAM_RCE | Los servidores OpenAM 14.6.2 y anteriores, y los servidores ForgeRock AM 6.5.3 y anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession de varias páginas. La explotación no requiere autenticación, y la ejecución de código remoto se puede activar enviando una sola solicitud /ccversion/* diseñada al servidor. La vulnerabilidad existe debido al uso de Sun ONE Application. Para obtener más información, consulta CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en riesgo un servidor de Oracle WebLogic. Los ataques exitosos a esta vulnerabilidad pueden provocar la apropiación del servidor Oracle WebLogic. Para obtener más información, consulta CVE-2020-14882. |
| PHPUNIT_RCE | Las versiones de PHPUnit anteriores a la 5.6.3 permiten la ejecución de código remoto con una sola solicitud POST no autenticada. |
| PHP_CGI_RCE | Las versiones de PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como un script de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos que se ejecutan en el servidor. |
| PORTAL_RCE | La deserialización de datos no confiables en versiones de Liferay Portal anteriores a la versión 7.2.1 CE GA2 permite que atacantes remotos ejecuten código arbitrario a través de servicios web JSON. |
| REDIS_RCE | Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar código arbitrario. |
| SOLR_FILE_EXPOSED | La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede crear directamente una solicitud para habilitar una configuración específica y, finalmente, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios. |
| SOLR_RCE | Las versiones de Apache Solr 5.0.0 a 8.3.1 son vulnerables a la ejecución remota de código a través de VelocityResponseWriter si params.resource.loader.enabled se establece en verdadero. Esto permite que los atacantes creen un parámetro que contenga una plantilla de Velocity maliciosa. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Las versiones 9.x anteriores a la 9.0.31, 8.x anteriores a la 8.5.51, 7.x anteriores a la 7.0.100 y todas las versiones 6.x de Apache Tomcat son vulnerables a la divulgación del código fuente y la configuración a través de un conector expuesto del protocolo Apache JServ. En algunos casos, esto se aprovecha para realizar la ejecución remota de código si se permite la carga de archivos. |
| VBULLETIN_RCE | Los servidores de vBulletin que ejecutan versiones de 5.0.0 a 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad usando un parámetro de consulta en una solicitud de cadena de ruta. |
| VCENTER_RCE | Las versiones 7.x de VMware vCenter Server anteriores a la 7.0 U1c, la 6.7 anterior a la 6.7 U3l y la 6.5 anterior a la 6.5 U3n son vulnerables a la ejecución remota de código. Un atacante puede activar esta vulnerabilidad subiendo un archivo Java Server Pages manipulado a un directorio accesible desde la Web y, luego, activando la ejecución de ese archivo. |
| WEBLOGIC_RCE | Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad se relaciona con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. |
| OS_VULNERABILITY | VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine. |
| UNUSED_IAM_ROLE | El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados excesivamente permisivos y no se deben otorgar a los agentes de servicio. |
Resultados admitidos de GCP_SECURITYCENTER_MISCONFIGURATION
Puedes encontrar la asignación del UDM en la tabla Referencia de asignación de campos: MISCONFIGURATION.
| Buscando nombre | Descripción |
|---|---|
| API_KEY_APIS_UNRESTRICTED | Hay claves de API que se usan de una forma demasiado general. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las APIs que necesita la aplicación. |
| API_KEY_APPS_UNRESTRICTED | Hay claves de API que se usan de manera ilimitada y permiten el uso de cualquier app no confiable |
| API_KEY_EXISTS | Un proyecto usa claves de API en lugar de la autenticación estándar. |
| API_KEY_NOT_ROTATED | La clave de API no se rotó durante más de 90 días |
| PUBLIC_COMPUTE_IMAGE | Una imagen de Compute Engine es de acceso público. |
| CONFIDENTIAL_COMPUTING_DISABLED | Confidential Computing está inhabilitado en una instancia de Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto. |
| COMPUTE_SECURE_BOOT_DISABLED | Esta VM protegida no tiene habilitado el inicio seguro. El uso del Inicio seguro ayuda a proteger las instancias de máquina virtual de las amenazas avanzadas, como rootkits y bootkits. |
| DEFAULT_SERVICE_ACCOUNT_USED | Una instancia está configurada para usar la cuenta de servicio predeterminada. |
| FULL_API_ACCESS | Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. |
| OS_LOGIN_DISABLED | El Acceso al SO está inhabilitado en esta instancia. |
| PUBLIC_IP_ADDRESS | Una instancia tiene una dirección IP pública. |
| SHIELDED_VM_DISABLED | La VM protegida está inhabilitada en esta instancia. |
| COMPUTE_SERIAL_PORTS_ENABLED | Los puertos en serie están habilitados para una instancia, lo que permite establecer conexiones a la consola en serie de la instancia. |
| DISK_CMEK_DISABLED | Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| HTTP_LOAD_BALANCER | Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. |
| IP_FORWARDING_ENABLED | El reenvío de IP está habilitado en las instancias. |
| WEAK_SSL_POLICY | Una instancia tiene una política de SSL débil. |
| BINARY_AUTHORIZATION_DISABLED | La autorización binaria está inhabilitada en un clúster de GKE. |
| CLUSTER_LOGGING_DISABLED | Logging no está habilitado para un clúster de GKE. |
| CLUSTER_MONITORING_DISABLED | Monitoring está inhabilitado en los clústeres de GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las APIs de Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | La encriptación de Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE. |
| INTRANODE_VISIBILITY_DISABLED | La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. |
| NETWORK_POLICY_DISABLED | La política de red está inhabilitada en los clústeres de GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | El inicio seguro está inhabilitado para un clúster de GKE. |
| OVER_PRIVILEGED_ACCOUNT | Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. |
| OVER_PRIVILEGED_SCOPES | Una cuenta de servicio de nodo tiene permisos de acceso amplios. |
| POD_SECURITY_POLICY_DISABLED | PodSecurityPolicy está inhabilitado en un clúster de GKE. |
| PRIVATE_CLUSTER_DISABLED | Un clúster de GKE tiene un clúster privado inhabilitado. |
| WORKLOAD_IDENTITY_DISABLED | Un clúster de GKE no está suscrito a un canal de versiones. |
| LEGACY_AUTHORIZATION_ENABLED | La autorización heredada está habilitada en los clústeres de GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| WEB_UI_ENABLED | La IU web de GKE (panel) está habilitada. |
| AUTO_REPAIR_DISABLED | Se inhabilita la función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado. |
| AUTO_UPGRADE_DISABLED | Se inhabilita una función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes. |
| CLUSTER_SHIELDED_NODES_DISABLED | Los nodos de GKE protegidos no están habilitados para un clúster |
| RELEASE_CHANNEL_DISABLED | Un clúster de GKE no está suscrito a un canal de versiones. |
| BIGQUERY_TABLE_CMEK_DISABLED | Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. |
| DATASET_CMEK_DISABLED | Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo. |
| EGRESS_DENY_RULE_NOT_SET | Una regla de denegación de salida no está configurada en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado. |
| FIREWALL_RULE_LOGGING_DISABLED | El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red. |
| OPEN_CASSANDRA_PORT | Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico. |
| OPEN_SMTP_PORT | Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico. |
| OPEN_REDIS_PORT | Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico. |
| OPEN_POSTGRESQL_PORT | Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico. |
| OPEN_POP3_PORT | Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico. |
| OPEN_ORACLEDB_PORT | Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico. |
| OPEN_NETBIOS_PORT | Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico. |
| OPEN_MYSQL_PORT | Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico. |
| OPEN_MONGODB_PORT | Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico. |
| OPEN_MEMCACHED_PORT | Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico. |
| OPEN_LDAP_PORT | Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico. |
| OPEN_FTP_PORT | Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico. |
| OPEN_ELASTICSEARCH_PORT | Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico. |
| OPEN_DNS_PORT | Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico. |
| OPEN_HTTP_PORT | Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico. |
| OPEN_DIRECTORY_SERVICES_PORT | Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. |
| OPEN_CISCOSECURE_WEBSM_PORT | Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico. |
| OPEN_RDP_PORT | Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico. |
| OPEN_TELNET_PORT | Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico. |
| OPEN_FIREWALL | Un firewall está configurado para estar abierto al acceso público. |
| OPEN_SSH_PORT | Un firewall está configurado para tener un puerto SSH abierto que permite el acceso genérico. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto incumple el principio de “Separación de obligaciones”. |
| NON_ORG_IAM_MEMBER | Hay un usuario que no usa credenciales de organización. Según CIS Google Cloud Foundations 1.0, actualmente, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Un usuario tiene el rol de Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica. |
| ADMIN_SERVICE_ACCOUNT | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | La clave de una cuenta de servicio no se rotó durante más de 90 días. |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | Un usuario administra una clave de cuenta de servicio. |
| PRIMITIVE_ROLES_USED | Un usuario tiene el rol básico de propietario, escritor o lector. Estas funciones son demasiado permisivas y no se deben usar. |
| KMS_ROLE_SEPARATION | No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de los siguientes roles de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/Desencriptador de CryptoKey, Encriptador o Desencriptador. |
| OPEN_GROUP_IAM_MEMBER | Se usa una cuenta de Grupos de Google a la que se puede unir sin aprobación como principal de la política de permisos de IAM. |
| KMS_KEY_NOT_ROTATED | La rotación no está configurada en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días. |
| KMS_PROJECT_HAS_OWNER | Un usuario tiene permisos de propietario en un proyecto que tiene claves criptográficas. |
| TOO_MANY_KMS_USERS | Hay más de tres usuarios de claves criptográficas. |
| OBJECT_VERSIONING_DISABLED | El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores. |
| LOCKED_RETENTION_POLICY_NOT_SET | Una política de retención bloqueada no se establece para los registros. |
| BUCKET_LOGGING_DISABLED | Hay un bucket de almacenamiento sin el registro habilitado. |
| LOG_NOT_EXPORTED | Hay un recurso que no tiene configurado un receptor de registros adecuado. |
| AUDIT_LOGGING_DISABLED | Se inhabilitó el registro de auditoría para este recurso. |
| MFA_NOT_ENFORCED | Hay usuarios que no usan la verificación en 2 pasos. |
| ROUTE_NOT_MONITORED | Las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC. |
| OWNER_NOT_MONITORED | Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. |
| AUDIT_CONFIG_NOT_MONITORED | Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría. |
| BUCKET_IAM_NOT_MONITORED | Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | Las métricas y las alertas de registros no están configuradas para supervisar los cambios de roles personalizados. |
| FIREWALL_NOT_MONITORED | Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de nube privada virtual (VPC). |
| NETWORK_NOT_MONITORED | Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC. |
| SQL_INSTANCE_NOT_MONITORED | Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL. |
| DEFAULT_NETWORK | La red predeterminada existe en un proyecto. |
| DNS_LOGGING_DISABLED | El registro de DNS en una red de VPC no está habilitado. |
| PUBSUB_CMEK_DISABLED | Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| PUBLIC_SQL_INSTANCE | Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. |
| SSL_NOT_ENFORCED | Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL. |
| AUTO_BACKUP_DISABLED | Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas. |
| SQL_CMEK_DISABLED | Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| SQL_LOG_CHECKPOINTS_DISABLED | La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está configurada como activada. |
| SQL_LOG_CONNECTIONS_DISABLED | La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está configurada como activada. |
| SQL_LOG_DISCONNECTIONS_DISABLED | La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está configurada como activada. |
| SQL_LOG_DURATION_DISABLED | La marca de la base de datos log_duration para una instancia de Cloud SQL para PostgreSQL no está configurada como activada. |
| SQL_LOG_LOCK_WAITS_DISABLED | La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está configurada como activada. |
| SQL_LOG_STATEMENT | La marca de base de datos log_statement para una instancia de Cloud SQL para PostgreSQL no está configurada como Ddl (todas las instrucciones de definición de datos). |
| SQL_NO_ROOT_PASSWORD | Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| SQL_PUBLIC_IP | Una base de datos de Cloud SQL tiene una dirección IP pública. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_LOCAL_INFILE | La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está configurada como desactivada. |
| SQL_LOG_MIN_ERROR_STATEMENT | La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró correctamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado. |
| SQL_LOG_TEMP_FILES | La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”. |
| SQL_REMOTE_ACCESS_ENABLED | La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está configurada como desactivada. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está configurada como activada. |
| SQL_TRACE_FLAG_3625 | La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está configurada como activada. |
| SQL_USER_CONNECTIONS_CONFIGURED | Se configura la marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server. |
| SQL_USER_OPTIONS_CONFIGURED | Se configura la marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server. |
| PUBLIC_BUCKET_ACL | Un bucket de Cloud Storage es de acceso público. |
| BUCKET_POLICY_ONLY_DISABLED | El acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket, no está configurado. |
| BUCKET_CMEK_DISABLED | Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores. |
| FLOW_LOGS_DISABLED | Hay una subred de VPC que tiene registros de flujo inhabilitados. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Existen subredes privadas sin acceso a las APIs públicas de Google. |
| kms_key_region_europe | Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa. |
| kms_non_euro_region | Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa. |
| LEGACY_NETWORK | Existe una red heredada en un proyecto. |
| LOAD_BALANCER_LOGGING_DISABLED | El registro está inhabilitado para el balanceador de cargas. |
Resultados admitidos de GCP_SECURITYCENTER_POSTURE_VIOLATION
Puedes encontrar la asignación del UDM en la tabla Referencia de asignación de campos: POSTURE VIOLATION.
| Buscando nombre | Descripción |
|---|---|
| SECURITY_POSTURE_DRIFT | Desviación de las políticas definidas dentro de la postura de seguridad. El servicio de postura de seguridad detecta esto. |
| SECURITY_POSTURE_POLICY_DRIFT | El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de la postura. |
| SECURITY_POSTURE_POLICY_DELETE | El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación ocurrió fuera de una actualización de la postura. |
| SECURITY_POSTURE_DETECTOR_DRIFT | El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de la postura. |
| SECURITY_POSTURE_DETECTOR_DELETE | El servicio de postura de seguridad detectó que se borró un módulo personalizado de las estadísticas del estado de la seguridad. Esta eliminación ocurrió fuera de una actualización de la postura. |
Formatos de registro compatibles con el Centro de seguridad
El analizador de Security Center admite registros en formato JSON.
Registros de muestra compatibles con el Centro de seguridad
Registros de muestra de GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Registros de muestra de GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Registros de muestra de GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Registros de muestra de GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Registros de muestra de GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }Registros de muestra de GCP_SECURITYCENTER_UNSPECIFIED
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Referencia de la asignación de campos
En esta sección, se explica cómo el analizador de Google Security Operations asigna los campos de registro de Security Command Center a los campos del modelo de datos unificado (UDM) de Google Security Operations para los conjuntos de datos.
Referencia de la asignación de campos: campos de registro sin procesar a campos del UDM
En la siguiente tabla, se enumeran los campos de registro y las asignaciones correspondientes del UDM para los resultados de Event Threat Detection de Security Command Center.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleto) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleto) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleto) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleto) |
Si el valor del campo de registro connections.destinationIp no es igual al de sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo about.labels.value del UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si el valor del campo de registro connections.destinationIp no es igual al de sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo additional.fields.value.string_value del UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleto) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleto) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleto) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleto) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Si el valor del campo de registro message coincide con el patrón de expresión regular kubernetes, el campo de UDM target.resource_ancestors.resource_type se establece en CLUSTER.De lo contrario, si el valor del campo de registro message coincide con la expresión regular kubernetes.*?pods, el campo de UDM target.resource_ancestors.resource_type se establece en POD. |
|
about.resource.attribute.cloud.environment |
El campo about.resource.attribute.cloud.environment del UDM está establecido en GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo del UDM extension.auth.type se establece en SSO. |
|
extension.mechanism |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de UDM extension.mechanism se establece en USERNAME_PASSWORD. |
|
extensions.auth.type |
Si el valor del campo de registro principal.user.user_authentication_status es igual a ACTIVE, el campo de UDM extensions.auth.type se establece en SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.loadBalancerName se asigna al campo intermediary.resource.name del UDM. |
|
intermediary.resource.resource_type |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de UDM intermediary.resource.resource_type se establece en BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si el valor del campo de registro canonicalName no está vacío, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok.Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo metadata.product_log_id del UDM.Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo metadata.product_log_id del UDM. |
|
metadata.product_name |
El campo metadata.product_name del UDM está establecido en Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
El campo metadata.vendor_name del UDM está establecido en Google. |
|
network.application_protocol |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de UDM network.application_protocol se establece en DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.asn se asigna al campo network.asn del UDM. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.indicatorContext.carrierName se asigna al campo network.carrier_name del UDM. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain se asigna al campo network.dns_domain del UDM. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass se asigna al campo network.dns.answers.class del UDM. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Si el valor del campo de registro category coincide con la expresión regular Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue se asigna al campo network.dns.answers.data del UDM. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.domainName se asigna al campo network.dns.answers.name del UDM. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.ttl se asigna al campo network.dns.answers.ttl del UDM. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Si el valor del campo de registro category es igual a Malware: Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseData.responseType se asigna al campo network.dns.answers.type del UDM. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.authAnswer se asigna al campo network.dns.authoritative del UDM. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryName se asigna al campo network.dns.questions.name del UDM. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.queryType se asigna al campo network.dns.questions.type del UDM. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.responseCode se asigna al campo network.dns.response_code del UDM. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent se asigna al campo network.http.user_agent del UDM. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.callerUserAgent se asigna al campo network.http.user_agent del UDM. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent se asigna al campo network.http.user_agent del UDM. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de UDM network.ip_protocol se establece en uno de los siguientes valores:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.organizationName se asigna al campo network.organization_name del UDM. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod se asigna al campo network.session_duration del UDM. |
sourceProperties.properties.sourceIp |
principal.ip |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.sourceIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo principal.ip del UDM. |
access.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography, o Persistence: IAM Anomalous Grant, el campo de registro access.callerIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.ip se asigna al campo principal.ip del UDM. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Cryptomining Bad Domain, el campo de registro sourceProperties.properties.dnsContexts.sourceIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, y el valor del campo de registro sourceProperties.properties.ipConnection.srcIp no es igual a sourceProperties.properties.indicatorContext.ipAddress, el campo de registro sourceProperties.properties.indicatorContext.ipAddress se asigna al campo principal.ip del UDM. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.callerIp se asigna al campo principal.ip del UDM. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (obsoleto) |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo principal.labels.key/value del UDM. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Si el valor del campo de registro category coincide con la expresión regular Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.scannerDomain se asigna al campo additional.fields.value.string_value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsoleto) |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna al campo principal.labels.key/value y al UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState se asigna al campo additional.fields.value.string_value del UDM. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.indicatorContext.countryCode se asigna al campo principal.location.country_or_region del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location se asigna al campo principal.location.country_or_region del UDM. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.location se asigna al campo principal.location.country_or_region del UDM. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Si el valor del campo de registro category es igual a Persistence: New Geography o Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier se asigna al campo principal.location.country_or_region del UDM. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation se asigna al campo principal.location.name del UDM. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.srcPort se asigna al campo principal.port del UDM. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo principal.process.file.full_path del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink se asigna al campo principal.process.file.full_path del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId se asigna al campo principal.process.pid del UDM. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.job.jobId se asigna al campo principal.process.pid del UDM. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.subnetworkName se asigna al campo principal.resource_ancestors.attribute.labels.value del UDM. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.srcVpc.projectId se asigna al campo principal.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo principal.resource_ancestors.name del UDM y el campo principal.resource_ancestors.resource_type del UDM se establece en VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo principal.resource.attribute.labels.key/value del UDM. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Si el valor del campo de registro sourceProperties.properties.projectId no está vacío, el campo de registro sourceProperties.properties.projectId se asigna al campo principal.resource.name del UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId se asigna al campo principal.resource.name del UDM. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Si el valor del campo de registro category es igual a Malware: Outgoing DoS, el campo de registro sourceProperties.properties.sourceInstanceDetails se asigna al campo principal.resource.name del UDM. |
|
principal.user.account_type |
Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo principal.user.account_type del UDM se establece en SERVICE_ACCOUNT_TYPE.De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo principal.user.account_type del UDM se establece en CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de UDM principal.user.attribute.labels.key se establece en rawUserAgent y el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent se asigna al campo de UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Discovery: Service Account Self-Investigation, el campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Evasion: Access from Anonymizing Proxy, el campo de registro sourceProperties.properties.changeFromBadIp.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script, Persistence: GCE Admin Added SSH Key o Initial Access: Suspicious Login Blocked, el campo de registro sourceProperties.properties.principalEmail se asigna al campo de UDM principal.user.email_addresses.Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro sourceProperties.properties.principalEmail se asigna al campo de UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography, el campo de registro access.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.userEmail se asigna al campo principal.user.email_addresses del UDM. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, el campo de registro sourceProperties.properties.ssoState se asigna al campo principal.user.user_authentication_status del UDM. |
database.userName |
principal.user.userid |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.userName se asigna al campo principal.user.userid del UDM. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.threatIntelligenceSource se asigna al campo security_result.about.application del UDM. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.sourceIp se asigna al campo security_result.about.ip del UDM. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedResources.resourceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece en CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.allowedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece en BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.restrictedServices.serviceName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece en BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.delta.accessLevels.policyName se asigna al campo de UDM security_result.about.resource.name y el campo de UDM security_result.about.resource_type se establece en ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se establece en security.Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo de UDM security_result.about.user.attribute.roles.name se establece en Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de UDM security_result.action se establece en BLOCK.Si el valor del campo de registro category es igual a Brute Force: SSH, y si el valor del campo de registro sourceProperties.properties.attempts.authResult es igual a SUCCESS, el campo de UDM security_result.action se establece en BLOCK.De lo contrario, el campo de UDM security_result.action se establece en BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedResources.action se asigna al campo security_result.action_details del UDM. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.restrictedServices.action se asigna al campo security_result.action_details del UDM. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.allowedServices.action se asigna al campo security_result.action_details del UDM. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.delta.accessLevels.action se asigna al campo security_result.action_details del UDM. |
|
security_result.alert_state |
Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se establece en ALERTING.De lo contrario, el campo de UDM security_result.alert_state se establece en NOT_ALERTING. |
findingClass |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo security_result.catgory_details del UDM. |
category |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo security_result.catgory_details del UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo security_result.detection_fields.value del UDM. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo security_result.detection_fields.value del UDM. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Si el valor del campo de registro category es igual a Persistence: New User Agent, el campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.authResult se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, el campo de UDM security_result.detection_fields.key se establece en sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo security_result.detection_fields.key del UDM y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo de UDM security_result.detection_fields.key/value. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name se asigna al campo intermediary.labels.key del UDM. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.tags.description se asigna al campo intermediary.labels.value del UDM. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Si el valor del campo de registro category es igual a Malware: Bad IP, el campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal se asigna al campo security_result.detection_fields.value del UDM. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se establece en HIGH_PRIORITY.De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se establece en MEDIUM_PRIORITY.De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se establece en LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Exfiltration, el campo de registro sourceProperties.properties.vpcViolation.violationReason se asigna al campo security_result.summary del UDM. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo src.process.command_line del UDM. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri se asigna al campo src.resource_ancestors.attribute.labels.value del UDM. |
parent |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro parent se asigna al campo src.resource_ancestors.name del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId se asigna al campo de UDM src.resource_ancestors.name y el campo de UDM src.resource_ancestors.resource_type se establece en TABLE. |
resourceName |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro resourceName se asigna al campo src.resource_ancestors.name del UDM. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolder se asigna al campo src.resource_ancestors.name del UDM. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo src.resource_ancestors.product_object_id del UDM. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.projectNumber se asigna al campo src.resource_ancestors.product_object_id del UDM. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.sourceId.organizationNumber se asigna al campo src.resource_ancestors.product_object_id del UDM. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo src.resource_ancestors.resource_subtype del UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo src.resource.attribute.labels.value del UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se establece en grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo src.resource.attribute.labels.value del UDM. |
resource.displayName |
principal.hostname |
Si el valor del campo de registro resource.type coincide con el patrón de expresión regular (?i)google.compute.Instance or google.container.Cluster, el campo de registro resource.displayName se asigna al campo principal.hostname del UDM. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo src.resource.attribute.labels.value del UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId se asigna al campo src.resource.attribute.labels.value del UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId se asigna al campo src.resource.attribute.labels.value del UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri se asigna al campo src.resource.attribute.labels.value del UDM. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.backupId se asigna al campo src.resource.attribute.labels.value del UDM. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro src.resource.attribute.labels.key/value se asigna al campo src.resource.attribute.labels.value del UDM. |
resourceName |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece en CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece en CloudSQL.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource se asigna al campo de UDM src.resource.name y el campo de UDM src.resource.resource_subtype se establece en CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.sources.name se asigna al campo de UDM src.resource.name y el campo de registro resourceName se asigna al campo de UDM src.resource_ancestors.name. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId se asigna al campo src.resource.product_object_id del UDM. |
access.serviceName |
target.application |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography, o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo target.application del UDM. |
sourceProperties.properties.serviceName |
target.application |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle, o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.serviceName se asigna al campo target.application del UDM. |
sourceProperties.properties.domainName |
target.domain.name |
Si el valor del campo de registro category es igual a Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.domainName se asigna al campo target.domain.name del UDM. |
sourceProperties.properties.domains.0 |
target.domain.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.domains.0 se asigna al campo target.domain.name del UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action se asigna al campo target.group.attribute.labels.key/value del UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action se asigna al campo target.group.attribute.labels.key/value del UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member se asigna al campo target.group.attribute.labels.key/value del UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member se asigna al campo target.group.attribute.labels.key/value del UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin se asigna al campo target.group.attribute.permissions.name del UDM. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions se asigna al campo target.group.attribute.permissions.name del UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName se asigna al campo target.group.attribute.roles.name del UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role se asigna al campo target.group.attribute.roles.name del UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role se asigna al campo target.group.attribute.roles.name del UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName se asigna al campo target.group.attribute.roles.name del UDM. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Si el valor del campo de registro category es igual a Persistence: IAM Anomalous Grant, el campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName se asigna al campo target.group.attribute.roles.name del UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName se asigna al campo target.group.group_display_name del UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName se asigna al campo target.group.group_display_name del UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Si el valor del campo de registro category es igual a Credential Access: Sensitive Role Granted To Hybrid Group, el campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName se asigna al campo target.group.group_display_name del UDM. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Si el valor del campo de registro category es igual a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destIp se asigna al campo target.ip del UDM. |
access.methodName |
target.labels [access_methodName] (obsoleto) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleto) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleto) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleto) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleto) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleto) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleto) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleto) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleto) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleto) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleto) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleto) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleto) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleto) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (obsoleto) |
Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo target.labels.value del UDM. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Si el valor del campo de registro category es igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.properties.methodName se asigna al campo additional.fields.value.string_value del UDM. |
sourceProperties.properties.network.location |
target.location.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.network.location se asigna al campo target.location.name del UDM. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Outgoing DoS, el campo de registro sourceProperties.properties.ipConnection.destPort se asigna al campo target.port del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.query se asigna al campo target.process.command_line del UDM. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
El campo de registro containers.labels.name se asigna al campo de UDM target.resource_ancestors.attribute.labels.key, y el campo de registro containers.labels.value se asigna al campo de UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.projectId se asigna al campo target.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP o Malware: Bad IP, el campo de registro sourceProperties.properties.destVpc.subnetworkName se asigna al campo target.resource_ancestors.attribute.labels.value del UDM. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkName se asigna al campo target.resource_ancestors.value del UDM. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Si el valor del campo de registro category es igual a Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.properties.network.subnetworkId se asigna al campo target.resource_ancestors.value del UDM. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource se asigna al campo target.resource_ancestors.name del UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Credential Access: Privileged Group Opened To Public, el campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource se asigna al campo target.resource_ancestors.name del UDM. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.destVpc.vpcName se asigna al campo de UDM target.resource_ancestors.name, el campo de registro sourceProperties.properties.vpc.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VPC_NETWORK.De lo contrario, si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, el campo de registro sourceProperties.properties.vpcName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Increasing Deny Ratio o Allowed Traffic Spike, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de registro sourceProperties.properties.gceInstanceId se asigna al campo target.resource_ancestors.product_object_id del UDM y el campo target.resource_ancestors.resource_type del UDM se establece en VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, el campo de UDM target.resource_ancestors.resource_type se establece en VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo target.resource.attribute.cloud.availability_zone del UDM. |
canonicalName |
metadata.product_log_id |
El finding_id se extrae del campo de registro canonicalName con un patrón de Grok.Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo metadata.product_log_id del UDM. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo src.resource.attribute.labels.key/value [finding_id] del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
src.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo src.resource.product_object_id del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo src.resource.attribute.labels.key/value [source_id] del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo target.resource.attribute.labels.key/value [finding_id] del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo target.resource.product_object_id del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo target.resource.attribute.labels.key/value [source_id] del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId se asigna al campo target.resource.attribute.labels.value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId se asigna al campo target.resource.attribute.labels.value del UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri se asigna al campo target.resource.attribute.labels.value del UDM. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de UDM target.resource.attribute.labels.key se establece en exportScope y el campo de registro sourceProperties.properties.exportToGcs.exportScope se asigna al campo de UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName se asigna al campo target.resource.attribute.labels.value del UDM. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri se asigna al campo target.resource.attribute.labels.value del UDM. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.metadataKeyOperation se asigna al campo target.resource.attribute.labels.key/value del UDM. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo target.resource.attribute.labels.key/value del UDM. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketAccess se asigna al campo target.resource.attribute.permissions.name del UDM. |
sourceProperties.properties.name |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
resourceName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
exfiltration.targets.name |
target.resource.name |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.bucketResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: CloudSQL Restore Backup to External Organization, el campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.vmName se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, el campo de registro sourceProperties.properties.instanceDetails se asigna al campo de UDM target.resource.name, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo de UDM target.resource.attribute.name y el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name, el campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId se asigna al campo de UDM target.resource.attribute.labels y el campo de UDM target.resource.resource_type se establece en TABLE.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.instanceId se asigna al campo target.resource.product_object_id del UDM. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName se asigna al campo target.resource.resource_subtype del UDM.De lo contrario, si el valor del campo de registro category es igual a Credential Access: External Member Added To Privileged Group, el campo target.resource.resource_subtype del UDM se establece en Privileged Group.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo target.resource.resource_subtype del UDM se establece en BigQuery. |
|
target.resource.resource_type |
Si el valor del campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType coincide con la expresión regular BUCKET, el campo de UDM target.resource.resource_type se establece en STORAGE_BUCKET.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de UDM target.resource.resource_type se establece en TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url.Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, el campo de registro sourceProperties.properties.extractionAttempt.jobLink se asigna al campo de UDM target.url. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration, el campo de registro sourceProperties.properties.exportToGcs.gcsUri se asigna al campo target.url del UDM. |
sourceProperties.properties.requestUrl |
target.url |
Si el valor del campo de registro category es igual a Initial Access: Log4j Compromise Attempt, el campo de registro sourceProperties.properties.requestUrl se asigna al campo target.url del UDM. |
sourceProperties.properties.policyLink |
target.url |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, el campo de registro sourceProperties.properties.policyLink se asigna al campo target.url del UDM. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Si el valor del campo de registro category es igual a Persistence: New Geography, el campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast se asigna al campo target.user.attribute.labels.value del UDM. |
sourceProperties.properties.attempts.username |
target.user.userid |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.attempts.username se asigna al campo de UDM target.user.userid.Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo de UDM target.user.userid. |
sourceProperties.properties.principalEmail |
target.user.userid |
Si el valor del campo de registro category es igual a Initial Access: Suspicious Login Blocked, el campo de registro userid se asigna al campo target.user.userid del UDM. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (obsoleto) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (obsoleto) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsoleto) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsoleto) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Added Binary Executed o Added Library Loaded, el campo de registro sourceProperties.VM_Instance_Name se asigna al campo target.resource_ancestors.name del UDM y el campo target.resource_ancestors.resource_type del UDM se establece en VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de registro sourceProperties.Backend_Service se asigna al campo de UDM target.resource.name y el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Si el valor del campo de registro category es igual a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, el campo de UDM target.resource.resource_type se establece en BACKEND_SERVICE.Si el valor del campo de registro category es igual a Configurable Bad Domain, el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : Se extrajo user_id del campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail y, luego, el campo user_id se asignó al campo principal.user.userid de UDM. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : Se extrajo user_id del campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail y, luego, el campo user_id se asignó al campo principal.user.userid de UDM. |
resourceName |
principal.asset.location.name |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y, luego, el campo de registro region se asigna al campo principal.asset.location.name de UDM. |
resourceName |
principal.asset.product_object_id |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y, luego, el campo de registro asset_prod_obj_id se asigna al campo principal.asset.product_object_id de UDM. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y, luego, el campo de registro zone_suffix se asigna al campo principal.asset.attribute.cloud.availability_zone de UDM. |
resourceName |
principal.asset.attribute.labels[project_name] |
Si el valor del campo de registro parentDisplayName es igual a Virtual Machine Threat Detection, Grok extrae project_name, region, zone_suffix y asset_prod_obj_id del campo de registro resourceName, y, luego, el campo de registro project_name se asigna al campo principal.asset.attribute.labels.value de UDM. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.methodName se asigna al campo target.labels del UDM. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.methodName se asigna al campo additional.fields del UDM. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.serviceName se asigna al campo target.labels del UDM. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.serviceName se asigna al campo additional.fields del UDM. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.attemptTimes se asigna al campo target.labels del UDM. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.attemptTimes se asigna al campo additional.fields del UDM. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.lastOccurredTime se asigna al campo de UDM target.labels. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si el valor del campo de registro category es igual a Initial Access: Excessive Permission Denied Actions, el campo de registro sourceProperties.properties.failedActions.lastOccurredTime se asigna al campo additional.fields del UDM. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Si el valor del campo de registro category contiene uno de los siguientes valores, el campo de registro resource.resourcePathString se asigna al campo src.resource.attribute.labels[resource_path_string] del UDM.
resource.resourcePathString se asigna al campo target.resource.attribute.labels[resource_path_string] de UDM. |
Referencia de asignación de campos: identificador de evento a tipo de evento
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
En las siguientes tablas, se incluyen los tipos de eventos y la asignación de campos del UDM para las clases de hallazgos de Security Command Center: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.
Categoría de VULNERABILIDAD para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría VULNERABILITY y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Categoría MISCONFIGURATION para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría MISCONFIGURATION y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoría OBSERVATION para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría OBSERVATION y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| Persistencia: Se agregó la clave SSH del proyecto | SETTING_MODIFICATION |
| Persistencia: Agrega un rol sensible | RESOURCE_PERMISSIONS_CHANGE |
| Impacto: Se creó una instancia de GPU | USER_RESOURCE_CREATION |
| Impacto: Se crearon muchas instancias | USER_RESOURCE_CREATION |
Categoría de ERROR para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría ERROR y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoría UNSPECIFIED para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría UNSPECIFIED y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento | Categoría de seguridad |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoría POSTURE_VIOLATION para el tipo de evento de UDM
En la siguiente tabla, se enumeran la categoría POSTURE_VIOLATION y sus tipos de eventos de UDM correspondientes.
| Identificador de evento | Tipo de evento |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Referencia de asignación de campos: VULNERABILIDAD
En la siguiente tabla, se enumeran los campos de registro de la categoría VULNERABILITY y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | Se extrajo region de resourceName con un patrón de Grok y se asignó al campo principal.asset.location.name del UDM. |
| resourceName | principal.asset.product_object_id | Se extrajo asset_prod_obj_id de resourceName con un patrón de Grok y se asignó al campo principal.asset.product_object_id del UDM. |
| resourceName | principal.asset.attribute.cloud.availability_zone | Se extrajo zone_suffix de resourceName con un patrón de Grok y se asignó al campo principal.asset.attribute.cloud.availability_zone del UDM. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Referencia de la asignación de campos: MISCONFIGURATION
En la siguiente tabla, se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Referencia de la asignación de campos: OBSERVATION
En la siguiente tabla, se enumeran los campos de registro de la categoría OBSERVATION y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Referencia de asignación de campos: ERROR
En la siguiente tabla, se enumeran los campos de registro de la categoría ERROR y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referencia de asignación de campos: UNSPECIFIED
En la siguiente tabla, se enumeran los campos de registro de la categoría UNSPECIFIED y sus campos de UDM correspondientes.
| Campo RawLog | Asignación de UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referencia de la asignación de campos: POSTURE_VIOLATION
En la siguiente tabla, se enumeran los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro finding.resourceName no está vacío, el campo de registro finding.resourceName se asigna al campo target.resource.name del UDM.El campo project_name se extrae del campo de registro finding.resourceName con el patrón de Grok.Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo target.resource_ancestors.name del UDM. |
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro resourceName no está vacío, el campo de registro resourceName se asigna al campo target.resource.name del UDM.El campo project_name se extrae del campo de registro resourceName con el patrón de Grok.Si el valor del campo project_name no está vacío, el campo project_name se asigna al campo target.resource_ancestors.name del UDM. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Si el valor del campo de registro finding.cloudProvider contiene uno de los siguientes valores, el campo de registro finding.cloudProvider se asigna al campo about.resource.attribute.cloud.environment del UDM.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Si el valor del campo de registro cloudProvider contiene uno de los siguientes valores, el campo de registro cloudProvider se asigna al campo about.resource.attribute.cloud.environment del UDM.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Si el valor del campo de registro resource.cloudProvider contiene uno de los siguientes valores, el campo de registro resource.cloudProvider se asigna al campo target.resource.attribute.cloud.environment del UDM.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Campos comunes: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
En la siguiente tabla, se enumeran los campos comunes de las categorías SECURITY COMMAND CENTER: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION y TOXIC_COMBINATION, y sus campos correspondientes del UDM.
| Campo RawLog | Asignación de UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleto) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleto) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleto) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleto) |
Si el valor del campo de registro connections.destinationIp no es igual al de sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo about.labels.value del UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si el valor del campo de registro connections.destinationIp no es igual al de sourceProperties.properties.ipConnection.destIp, el campo de registro connections.destinationIp se asigna al campo additional.fields.value del UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleto) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleto) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleto) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleto) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
El campo target.resource_ancestors.resource_type del UDM está establecido en CLUSTER. |
|
about.resource.attribute.cloud.environment |
El campo about.resource.attribute.cloud.environment del UDM está establecido en GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si el valor del campo de registro canonicalName no está vacío, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok.Si el valor del campo de registro finding_id está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo metadata.product_log_id del UDM.Si el valor del campo de registro canonicalName está vacío, el campo de registro sourceProperties.evidence.sourceLogId.insertId se asigna al campo metadata.product_log_id del UDM. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si el valor del campo de registro message coincide con la expresión regular sourceProperties.sourceId.*?customerOrganizationNumber, el campo de registro sourceProperties.sourceId.customerOrganizationNumber se asigna al campo principal.resource.attribute.labels.value del UDM. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Si el valor del campo de registro access.principalSubject coincide con la expresión regular serviceAccount, el campo principal.user.account_type del UDM se establece en SERVICE_ACCOUNT_TYPE.De lo contrario, si el valor del campo de registro access.principalSubject coincide con la expresión regular user, el campo principal.user.account_type del UDM se establece en CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Si el valor del campo de registro access.principalEmail no está vacío y coincide con la expresión regular ^.+@.+$, se asigna al campo principal.user.email_addresses del UDM.access.principalEmailaccess.principalEmail |
access.principalEmail |
principal.user.userid |
Si el valor del campo de registro access.principalEmail no está vacío y no coincide con la expresión regular ^.+@.+$, el campo de registro access.principalEmail se asigna al campo principal.user.userid del UDM.access.principalEmail |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Si el valor del campo de registro message coincide con la expresión regular contacts.?security, el campo de UDM security_result.about.user.attribute.roles.name se establece en security.Si el valor del campo de registro message coincide con la expresión regular contacts.?technical, el campo de UDM security_result.about.user.attribute.roles.name se establece en Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Si el valor del campo de registro state es igual a ACTIVE, el campo de UDM security_result.alert_state se establece en ALERTING.De lo contrario, el campo de UDM security_result.alert_state se establece en NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
El campo de registro findingClass - category se asigna al campo security_result.catgory_details del UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteInitiator se asigna al campo security_result.detection_fields.value del UDM. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si el valor del campo de registro mute es igual a MUTED o UNMUTED, el campo de registro muteUpdateTimer se asigna al campo security_result.detection_fields.value del UDM. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si el valor del campo de registro category es igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, el campo de UDM security_result.detection_fields.key se establece en sourceProperties_contextUris_relatedFindingUri_url y el campo de registro sourceProperties.contextUris.relatedFindingUri.url se asigna al campo de UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName se asigna al campo security_result.detection_fields.key del UDM y el campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url se asigna al campo security_result.detection_fields.value del UDM. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si el valor del campo de registro category es igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, el campo de registro sourceProperties.contextUris.workspacesUri.displayName se asigna al campo de UDM security_result.detection_fields.key y el campo de registro sourceProperties.contextUris.workspacesUri.url se asigna al campo de UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si el valor del campo de registro sourceProperties.detectionPriority es igual a HIGH, el campo de UDM security_result.priority se establece en HIGH_PRIORITY.De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a MEDIUM, el campo de UDM security_result.priority se establece en MEDIUM_PRIORITY.De lo contrario, si el valor del campo de registro sourceProperties.detectionPriority es igual a LOW, el campo de UDM security_result.priority se establece en LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.query se asigna al campo src.process.command_line del UDM.De lo contrario, el campo de registro database.query se asigna al campo target.process.command_line del UDM. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo src.resource_ancestors.attribute.labels.value del UDM.De lo contrario, el campo de registro resource.folders.resourceFolderDisplayName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.folders.resourceFolderDisplay se asigna al campo src.resource_ancestors.attribute.labels.value del UDM.De lo contrario, el campo de registro resource.gcpMetadata.folders.resourceFolderDisplay se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.folders.resourceFolder se asigna al campo src.resource_ancestors.name del UDM.De lo contrario, el campo de registro resource.gcpMetadata.folders.resourceFolder se asigna al campo target.resource_ancestors.name del UDM. |
resource.organization |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.organization se asigna al campo src.resource_ancestors.name del UDM.De lo contrario, el campo de registro resource.organization se asigna al campo target.resource_ancestors.name del UDM. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.organization se asigna al campo src.resource_ancestors.name del UDM.De lo contrario, el campo de registro resource.gcpMetadata.organization se asigna al campo target.resource_ancestors.name del UDM. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentDisplayName se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.parentDisplayName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.parentDisplayName se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.gcpMetadata.parentDisplayName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.parentName se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.parentName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.parent se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.gcpMetadata.parent se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.projectDisplayName se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.projectDisplayName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.gcpMetadata.projectDisplayName se asigna al campo src.resource_ancestors.attribute.labels.key/value del UDM.De lo contrario, el campo de registro resource.gcpMetadata.projectDisplayName se asigna al campo target.resource.attribute.labels.value del UDM. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo src.resource_ancestors.resource_subtype del UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de registro database.displayName se asigna al campo src.resource.attribute.labels.value del UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Over-Privileged Grant, el campo de UDM src.resource.attribute.labels.key se establece en grantees y el campo de registro database.grantees se asigna al campo de UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.display_name se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.type se asigna al campo src.resource_ancestors.resource_subtype del UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.displayName se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.displayName se asigna al campo de UDM target.resource.attribute.labels.value. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, el campo de registro resource.display_name se asigna al campo de UDM src.resource.attribute.labels.value.De lo contrario, el campo de registro resource.display_name se asigna al campo de UDM target.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.sources.components se asigna al campo src.resource.attribute.labels.value del UDM. |
resourceName |
src.resource.name |
Si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, el campo de registro resourceName se asigna al campo src.resource.name del UDM. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Si el valor del campo de registro category es igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography, o Persistence: IAM Anomalous Grant, el campo de registro access.serviceName se asigna al campo target.application del UDM. |
access.methodName |
target.labels [access_methodName] (obsoleto) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleto) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleto) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleto) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleto) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleto) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleto) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleto) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleto) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleto) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleto) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleto) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleto) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleto) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, el campo de registro sourceProperties.properties.projectId se asigna al campo de UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro sourceProperties.properties.zone se asigna al campo target.resource.attribute.cloud.availability_zone del UDM. |
canonicalName |
metadata.product_log_id |
El finding_id se extrae del campo de registro canonicalName con un patrón de Grok.Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo metadata.product_log_id del UDM. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo src.resource.attribute.labels.key/value [finding_id] del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
src.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo src.resource.product_object_id del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo src.resource.attribute.labels.key/value [source_id] del UDM. Si el valor del campo de registro category es igual a uno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si el valor del campo de registro finding_id no está vacío, el campo de registro finding_id se asigna al campo target.resource.attribute.labels.key/value [finding_id] del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el finding_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.product_object_id |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo target.resource.product_object_id del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si el valor del campo de registro source_id no está vacío, el campo de registro source_id se asigna al campo target.resource.attribute.labels.key/value [source_id] del UDM. Si el valor del campo de registro category no es igual a ninguno de los siguientes valores, el source_id se extrae del campo de registro canonicalName con un patrón de Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si el valor del campo de registro category es igual a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, el campo de registro exfiltration.targets.components se asigna al campo target.resource.attribute.labels.key/value del UDM. |
resourceName |
target.resource.name |
Si el valor del campo de registro category es igual a Brute Force: SSH, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name.De lo contrario, si el valor del campo de registro category es igual a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, el campo de registro resourceName se asigna al campo de UDM target.resource_ancestors.name y el campo de UDM target.resource.resource_type se establece en VIRTUAL_MACHINE.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, si el valor del campo de registro category es igual a Exfiltration: BigQuery Data Exfiltration, el campo de registro exfiltration.target.name se asigna al campo de UDM target.resource.name.De lo contrario, el campo de registro resourceName se asigna al campo de UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RegionCode, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.location.country_or_region.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RemoteHost, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.ip.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a UserAgent, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM network.http.user_agent.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Si el valor del campo de registro sourceProperties.Header_Signature.name es igual a RequestUriPath, el campo de registro sourceProperties.Header_Signature.significantValues.value se asigna al campo de UDM principal.url.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.compromised_account se asigna al campo de UDM principal.user.userid y el campo de UDM principal.user.account_type se establece en SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.project_identifier se asigna al campo de UDM principal.resource.product_object_id.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.private_key_identifier se asigna al campo de UDM principal.user.attribute.labels.value.
|
sourceProperties.action_taken |
principal.labels [action_taken] (obsoleto) |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM principal.labels.value.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.action_taken se asigna al campo de UDM additional.fields.value.
|
sourceProperties.finding_type |
principal.labels [finding_type] (obsoleto) |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM principal.labels.value.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.finding_type se asigna al campo de UDM additional.fields.value.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.url se asigna al campo de UDM principal.user.attribute.labels.value.
|
sourceProperties.security_result.summary |
security_result.summary |
Si el valor del campo de registro category es igual a account_has_leaked_credentials, el campo de registro sourceProperties.security_result.summary se asigna al campo de UDM security_result.summary.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
¿Qué sigue?
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.