Collecter les résultats de Security Command Center
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Security Command Center en configurant Security Command Center et en ingérant les résultats dans Google Security Operations. Ce document liste également les événements compatibles.
Pour en savoir plus, consultez Ingérer des données dans Google Security Operations et Exporter les résultats Security Command Center vers Google Security Operations. Un déploiement type se compose de Security Command Center et du flux Google Security Operations configuré pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut être différent et plus complexe.
Le déploiement contient les composants suivants :
Google Cloud : système à surveiller sur lequel Security Command Center est installé.
Résultats Event Threat Detection de Security Command Center : collecte des informations à partir de la source de données et génère des résultats.
Google Security Operations : conserve et analyse les journaux de Security Command Center.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parser Security Command Center avec les libellés d'ingestion suivants :
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configurer Security Command Center et Google Cloud pour envoyer les résultats à Google Security Operations
Assurez-vous que tous les systèmes du déploiement sont configurés sur le fuseau horaire UTC.
Activez l'ingestion des résultats Security Command Center.
Résultats Event Threat Detection compatibles
Cette section liste les résultats Event Threat Detection compatibles. Pour en savoir plus sur les règles et les résultats d'Event Threat Detection dans Security Command Center, consultez Règles d'Event Threat Detection.
| Nom du résultat | Description |
|---|---|
| Analyse active : Log4j vulnérable à RCE | Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles. |
| Attaques par force brute SSH | Détection d'une attaque par force brute SSH réussie sur un hôte |
| Accès aux identifiants : membre externe ajouté au groupe privilégié | Détecte lorsqu'un membre externe est ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. |
| Accès aux identifiants : groupe privilégié ouvert au public | Détecte lorsqu'un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) est modifié pour devenir accessible au grand public. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. |
| Accès aux identifiants : rôle sensible attribué au groupe hybride | Détecte quand des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. |
| Defense Evasion : Modifier VPC Service Controls | Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre. |
| Découverte : vérification des objets Kubernetes sensiblesAperçu | Un individu malveillant a tenté d'identifier les objets sensibles stockés dans Google Kubernetes Engine (GKE) sur lesquels il peut effectuer des requêtes, en se servant de la commande "kubectl auth can-i get". |
| Découverte : Auto-enquête sur le compte de service | Détection des identifiants de compte de service IAM (Identity and Access Management) permettant d'examiner les rôles et les autorisations associés à ce même compte de service. |
| Fuite : accès depuis le proxy d'anonymisation | Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor. |
| Exfiltration : exfiltration de données BigQuery | Détecte les cas suivants :
|
| Exfiltration : extraction de données BigQuery | Détecte les cas suivants :
|
| Exfiltration : données BigQuery vers Google Drive | Détecte les cas suivants :
Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive. |
| Exfiltration : exfiltration de données Cloud SQL | Détecte les cas suivants :
|
| Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Détecte le moment où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance à l'extérieur de l'organisation. |
| Exfiltration : octroi de privilèges SQL Cloud SQL trop élevés | Détecte lorsqu'un utilisateur ou un rôle Cloud SQL Postgres s'est vu attribuer tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma. |
| Défenses diminuées : authentification forte - désactivé | La validation en deux étapes a été désactivée pour l'organisation. |
| Défenses diminuées : Vérification en deux étapes - désactivé | Un utilisateur a désactivé la validation en deux étapes. |
| Accès initial : piratage - compte désactivé | Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte. |
| Accès initial : fuite de mot de passe - désactivé | Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée. |
| Accès initial: Attaque de personnes malveillantes soutenues par un gouvernement | Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur. |
| Accès initial : tentative de compromis Log4j | Détecte les recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. |
| Accès initial : connexion suspecte - bloqué | Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée. |
| Logiciel malveillant Log4j : domaine incorrect | Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j. |
| Logiciel malveillant Log4j : adresse IP incorrecte | Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j. |
| Logiciel malveillant : domaine malveillant | Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu |
| Logiciel malveillant : adresse IP malveillante | Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue |
| Logiciel malveillant : domaine malveillant minant de la cryptomonnaie | Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage de cryptomonnaie connu |
| Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie | Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue |
| DoS sortant | Détection du trafic de déni de service sortant |
| Persistance : ajout d'une clé SSH par l'administrateur Compute Engine | Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
| Persistance : ajout d'un script de démarrage par l'administrateur Compute Engine | Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
| Persistance : Octroi anormal d'autorisations IAM | Détection des privilèges accordés aux utilisateurs et aux comptes de service IAM qui ne sont pas membres de l'organisation. Ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat. |
| Persistance : Nouvelle méthode d'APIBêta | Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM |
| Persistance : Nouvelle géographie | Détection des comptes utilisateur et de service IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. |
| Persistance : Nouvel agent utilisateur | Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects. |
| Persistance: activer/désactiver l'authentification unique | Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur. |
| Persistance: paramètres SSO modifiés | Les paramètres SSO du compte administrateur ont été modifiés. |
| Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensiblesAperçu | Pour élever un privilège, un individu malveillant a tenté de modifier les objets ClusterRole et ClusterRoleBinding cluster-admin à l'aide d'une requête PUT ou PATCH. |
| Élévation des privilèges : Création d'une requête de signature de certificat Kubernetes pour le certificat principalPreview | Un individu potentiellement malveillant a créé une requête de signature de certificat (CSR) principal Kubernetes, ce qui peut lui accorder un accès cluster-admin. |
| Élévation des privilèges : création de liaisons Kubernetes sensiblesAperçu | Un individu malveillant a tenté de créer des objets RoleBinding ou ClusterRoleBinding cluster-admin afin d'élever ses privilèges. |
| Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromisAperçu | Un individu malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis. |
| Élévation des privilèges : exécution d'un conteneur Kubernetes privilégiéAperçu | Un individu malveillant a créé des pods contenant des conteneurs privilégiés ou des conteneurs dotés de fonctionnalités d'élévation des privilèges.
Le champ "privileged" d'un conteneur privilégié est défini sur "true". Le champ "allowPrivilegeEscalation" d'un conteneur doté de capacités d'élévation des droits est défini sur "true". |
| Accès initial : clé de compte de service inactif créée | Détecte les événements où une clé est créée pour un compte de service dormant géré par l'utilisateur. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. |
| Arborescence des processus | Le détecteur vérifie l'arborescence des processus de tous les processus en cours d'exécution. Si un processus est un binaire shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat. |
| Shell enfant inattendu | Le détecteur vérifie l'arborescence des processus de tous les processus en cours d'exécution. Si un processus est un binaire shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat. |
| Exécution : binaire malveillant ajouté exécuté | Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant en fonction des renseignements sur les menaces. |
| Exécution : binaire malveillant modifié exécuté | Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image de conteneur, mais qui a été modifié lors de l'exécution et identifié comme malveillant en fonction des informations sur les menaces. |
| Escalade de privilèges : délégation de compte de service multi-étapes anormale pour les activités d'administration | Détecte les demandes déléguées multi-étapes anormales pour une activité administrative. |
| Compte "bris de glace" utilisé : break_glass_account | Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace) |
| Domaine incorrect configurable : APT29_Domains | Détecte une connexion à un nom de domaine spécifié |
| Attribution de rôle inattendue : rôles interdits | Détecte quand un rôle spécifié est attribué à un utilisateur |
| Adresse IP incorrecte configurable | Détecte une connexion à une adresse IP spécifiée |
| Type d'instance Compute Engine inattendu | Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration d'instance ou au type que vous avez spécifié. |
| Image source Compute Engine inattendue | Détecte la création d'une instance Compute Engine qui repose sur une image ou une famille d'images ne faisant pas partie d'une liste spécifiée |
| Région Compute Engine inattendue | Détecte la création d'une instance Compute Engine dans une région ne figurant pas dans une liste spécifiée. |
| Rôle personnalisé avec autorisation interdite | Détecte quand un rôle personnalisé disposant de l'une des autorisations IAM spécifiées est attribué à un compte principal. |
| Appel d'API Cloud inattendu | Détecte quand un compte principal spécifié appelle une méthode spécifiée sur une ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières correspondent à une seule entrée de journal. |
Résultats GCP_SECURITYCENTER_ERROR acceptés
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : ERREUR.
| Nom du résultat | Description |
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'y a pas accès. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | Le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging. |
| API_DISABLED | Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) depuis gcr.io, l'hôte d'images Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet Kubernetes DaemonSet requis par Container Threat Detection.
Lorsqu'ils sont affichés dans la console Google Cloud , les détails des résultats incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ni désactivée. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit. |
Résultats GCP_SECURITYCENTER_OBSERVATION compatibles
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : OBSERVATION.
| Nom du résultat | Description |
|---|---|
| Persistance : clé SSH de projet ajoutée | Une clé SSH au niveau du projet a été créée dans un projet de plus de 10 jours. |
| Persistance : ajouter un rôle sensible | Un rôle IAM sensible ou à privilèges élevés au niveau de l'organisation a été accordé dans une organisation de plus de 10 jours. |
Résultats GCP_SECURITYCENTER_UNSPECIFIED acceptés
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : UNSPECIFIED.
| Nom du résultat | Description |
|---|---|
| OPEN_FIREWALL | Un pare-feu est configuré pour être accessible au public. |
Résultats GCP_SECURITYCENTER_VULNERABILITY acceptés
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : VULNERABILITY.
| Nom du résultat | Description |
|---|---|
| DISK_CSEK_DISABLED | Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers. |
| ALPHA_CLUSTER_ENABLED | Les fonctionnalités de cluster alpha sont activées pour un cluster GKE. |
| AUTO_REPAIR_DISABLED | La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée. |
| AUTO_UPGRADE_DISABLED | La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. |
| CLUSTER_SHIELDED_NODES_DISABLED | Les nœuds GKE protégés ne sont pas activés pour un cluster. |
| COS_NOT_USED | Les VM Compute Engine n'utilisent pas le système d'exploitation optimisé par conteneur conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. |
| INTEGRITY_MONITORING_DISABLED | La surveillance de l'intégrité est désactivée pour un cluster GKE. |
| IP_ALIAS_DISABLED | Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. |
| LEGACY_METADATA_ENABLED | Les anciennes métadonnées sont activées sur les clusters GKE. |
| RELEASE_CHANNEL_DISABLED | Un cluster GKE n'est pas abonné à une version disponible. |
| DATAPROC_IMAGE_OUTDATED | Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité de l'utilitaire Apache Log4j 2 (CVE-2021-44228 et CVE-2021-45046). |
| PUBLIC_DATASET | Un ensemble de données est configuré pour être accessible au public. |
| DNSSEC_DISABLED | DNSSEC est désactivé pour les zones Cloud DNS. |
| RSASHA1_FOR_SIGNING | RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. |
| REDIS_ROLE_USED_ON_ORG | Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. |
| KMS_PUBLIC_KEY | Une clé cryptographique Cloud KMS est accessible au public. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | L'option de base de données "contained database authentication" (authentification de la base de données autonome) n'est pas définie sur "off" (désactivée) pour une instance Cloud SQL pour SQL Server. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | L'indicateur de base de données cross_db_ownership_chaining n'est pas défini sur "off" pour une instance Cloud SQL pour SQL Server. |
| SQL_EXTERNAL_SCRIPTS_ENABLED | L'option de base de données "external scripts enabled" (scripts externes activés) d'une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée). |
| SQL_LOCAL_INFILE | L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée. |
| SQL_LOG_ERROR_VERBOSITY | L'option de base de données "log_error_verbosity" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "default" ou un niveau plus strict. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | L'option de base de données "log_min_duration_statement" pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1". |
| SQL_LOG_MIN_ERROR_STATEMENT | L'option de base de données log_min_error_statement n'est pas définie correctement pour une instance Cloud SQL pour PostgreSQL. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié. |
| SQL_LOG_MIN_MESSAGES | L'option de base de données "log_min_messages" n'est pas définie sur "warning" pour une instance Cloud SQL pour PostgreSQL. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | L'indicateur de base de données "log_executor_status" d'une instance Cloud SQL pour PostgreSQL n'est pas défini sur "off". |
| SQL_LOG_HOSTNAME_ENABLED | L'option de base de données "log_hostname" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée. |
| SQL_LOG_PARSER_STATS_ENABLED | L'indicateur de base de données "log_parser_stats" n'est pas défini sur "off" pour une instance Cloud SQL pour PostgreSQL. |
| SQL_LOG_PLANNER_STATS_ENABLED | L'option de base de données "log_planner_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "off". |
| SQL_LOG_STATEMENT_STATS_ENABLED | L'option de base de données "log_statement_stats" n'est pas désactivée pour une instance Cloud SQL pour PostgreSQL. |
| SQL_LOG_TEMP_FILES | L'option de base de données log_temp_files d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0". |
| SQL_REMOTE_ACCESS_ENABLED | L'option de base de données "remote access" (accès à distance) pour une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée). |
| SQL_SKIP_SHOW_DATABASE_DISABLED | L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée. |
| SQL_TRACE_FLAG_3625 | L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas définie sur "activé". |
| SQL_USER_CONNECTIONS_CONFIGURED | L'option de base de données "user connections" (connexions utilisateur) est configurée pour une instance Cloud SQL pour SQL Server. |
| SQL_USER_OPTIONS_CONFIGURED | L'option de base de données "user options" (options utilisateur) est configurée pour une instance Cloud SQL pour SQL Server. |
| SQL_WEAK_ROOT_PASSWORD | Une base de données Cloud SQL possède un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| PUBLIC_LOG_BUCKET | Un bucket de stockage utilisé comme récepteur de journaux est accessible au public. |
| ACCESSIBLE_GIT_REPOSITORY | Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. |
| ACCESSIBLE_ENV_FILE | Un fichier ENV est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au fichier ENV. |
| CACHEABLE_PASSWORD_INPUT | Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé. |
| CLEAR_TEXT_PASSWORD | Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête "Origin" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour résoudre ce problème, vérifiez que le domaine racine attendu fait partie de la valeur de l'en-tête "Origin" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith("".google.com""). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête "Origin" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête "Origin" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin" (par exemple, .equals("".google.com"")). |
| INVALID_CONTENT_TYPE | Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte. |
| INVALID_HEADER | Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. |
| MISMATCHING_SECURITY_HEADER_VALUES | Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. |
| MISSPELLED_SECURITY_HEADER_NAME | Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. |
| MIXED_CONTENT | Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. |
| OUTDATED_LIBRARY | Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. |
| SERVER_SIDE_REQUEST_FORGERY | Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes. |
| SESSION_ID_LEAK | Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête "Referer". Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique. |
| SQL_INJECTION | Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL. |
| STRUTS_INSECURE_DESERIALIZATION | L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. |
| XSS | Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. |
| XSS_ANGULAR_CALLBACK | Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. |
| XSS_ERROR | Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. |
| XXE_REFLECTED_FILE_LEAKAGE | Une faille XML External Entity (XXE) a été détectée. Elle peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes. |
| BASIC_AUTHENTICATION_ENABLED | Activez l'authentification via le certificat client ou IAM sur les clusters Kubernetes. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes. |
| LABELS_NOT_USED | Des libellés peuvent être utilisés pour répartir les informations de facturation. |
| PUBLIC_STORAGE_OBJECT | La LCA de stockage d'objet ne doit pas accorder l'accès à allUsers. |
| SQL_BROAD_ROOT_LOGIN | L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées |
| WEAK_CREDENTIALS | Ce détecteur recherche les identifiants faibles en utilisant les méthodes de force brute de l'outil ncrack.
Services compatibles : SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
| ELASTICSEARCH_API_EXPOSED | L'API Elasticsearch permet aux appelants d'effectuer des requêtes arbitraires, d'écrire et d'exécuter des scripts, et d'ajouter des documents supplémentaires au service. |
| EXPOSED_GRAFANA_ENDPOINT | Dans Grafana 8.0.0 à 8.3.0, les utilisateurs peuvent accéder sans authentification à un point de terminaison présentant une faille de traversée de répertoire qui permet à n'importe quel utilisateur de lire n'importe quel fichier sur le serveur sans authentification. Pour en savoir plus, consultez CVE-2021-43798. |
| EXPOSED_METABASE | Les versions x.40.0 à x.40.4 de Metabase, une plate-forme d'analyse de données Open Source, contiennent une faille dans la prise en charge des cartes GeoJSON personnalisées et une inclusion potentielle de fichiers locaux, y compris des variables d'environnement. Les URL n'ont pas été validées avant d'être chargées. Pour en savoir plus, consultez CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Ce détecteur vérifie si les points de terminaison d'actionneur sensibles des applications Spring Boot sont exposés. Certains points de terminaison par défaut, tels que /heapdump, peuvent exposer des informations sensibles. D'autres points de terminaison, tels que /env, peuvent permettre l'exécution de code à distance. Actuellement, seule la commande /heapdump est vérifiée. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Ce détecteur vérifie si l'API Hadoop Yarn ResourceManager, qui contrôle les ressources de calcul et de stockage d'un cluster Hadoop, est exposée et permet l'exécution de code non authentifié. |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension (JMX) permet la surveillance et le diagnostic à distance des applications Java. L'exécution de JMX avec un point de terminaison d'appel de méthode à distance non protégé permet à tout utilisateur distant de créer un MBean javax.management.loading.MLet et de l'utiliser pour créer de nouveaux MBean à partir d'URL arbitraires. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Ce détecteur vérifie si un notebook Jupyter non authentifié est exposé. Jupyter permet l'exécution de code à distance à des fins de développement sur la machine hôte. Un notebook Jupyter non authentifié présente un risque d&#VM;exécution de code à distance. |
| KUBERNETES_API_EXPOSED | L'API Kubernetes est exposée et est accessible aux appelants non authentifiés. Cela permet l'exécution de code arbitraire sur le cluster Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Ce détecteur vérifie si une installation WordPress est inachevée. Une installation WordPress inachevée expose la page /wp-admin/install.php, ce qui permet au pirate de définir le mot de passe administrateur et, éventuellement, de compromettre le système. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Ce détecteur recherche une instance Jenkins non authentifiée en envoyant un ping de vérification au point de terminaison /view/all/newJob en tant que visiteur anonyme. Une instance Jenkins authentifiée affiche le formulaire createItem, ce qui permet la création de tâches arbitraires pouvant entraîner l'exécution de code à distance. |
| APACHE_HTTPD_RCE | Une faille a été découverte dans Apache HTTP Server 2.4.49. Elle permet à un pirate informatique d'utiliser une attaque par traversée de répertoire pour mapper des URL à des fichiers en dehors de la racine du document attendue et d'afficher la source des fichiers interprétés, comme les scripts CGI. Il est connu pour être exploité dans la nature. Ce problème affecte Apache 2.4.49 et 2.4.50, mais pas les versions antérieures. Pour en savoir plus sur cette faille, consultez les ressources suivantes : |
| APACHE_HTTPD_SSRF | Les pirates informatiques peuvent créer un URI pour le serveur Web Apache qui amène mod_proxy à transférer la requête vers un serveur d'origine choisi par l'attaquant. Ce problème affecte Apache HTTP Server 2.4.48 et ses versions antérieures. Pour en savoir plus sur cette faille, consultez les ressources suivantes : |
| CONSUL_RCE | Les pirates informatiques peuvent exécuter du code arbitraire sur un serveur Consul, car l'instance Consul est configurée avec la valeur "true" pour -enable-script-checks. De plus, l'API HTTP Consul n'est pas sécurisée et est accessible sur le réseau. Dans Consul 0.9.0 et les versions antérieures, les vérifications de script sont activées par défaut. Pour en savoir plus, consultez Protéger Consul contre le risque d'exécution de code à distance dans des configurations spécifiques. Pour détecter cette faille, la détection rapide des failles enregistre un service sur l'instance Consul à l'aide du point de terminaison REST /v1/health/service, qui exécute ensuite l'une des opérations suivantes : * Une commande curl vers un serveur distant en dehors du réseau. Un pirate informatique peut utiliser la commande curl pour exfiltrer des données du serveur. * Une commande printf. La détection rapide des failles de sécurité vérifie ensuite le résultat de la commande à l'aide du point de terminaison REST /v1/health/service. * Une fois la vérification effectuée, la détection rapide des failles nettoie et annule l'enregistrement du service à l'aide du point de terminaison REST /v1/agent/service/deregister/. |
| DRUID_RCE | Apache Druid permet d'exécuter du code JavaScript fourni par l'utilisateur et intégré à différents types de requêtes. Cette fonctionnalité est destinée à être utilisée dans des environnements à haut niveau de confiance et est désactivée par défaut. Toutefois, dans Druid 0.20.0 et les versions antérieures, il est possible pour un utilisateur authentifié d'envoyer une requête spécialement conçue qui force Druid à exécuter le code JavaScript fourni par l'utilisateur pour cette requête, quelle que soit la configuration du serveur. Cela peut être utilisé pour exécuter du code sur la machine cible avec les privilèges du processus du serveur Druid. Pour en savoir plus, consultez Détails de CVE-2021-25646. |
| DRUPAL_RCE | Les versions de Drupal antérieures à 7.58, 8.x antérieures à 8.3.9, 8.4.x antérieures à 8.4.6 et 8.5.x antérieures à 8.5.1 sont vulnérables à l'exécution de code à distance sur les requêtes AJAX de l'API Form. Les versions de Drupal 8.5.x antérieures à 8.5.11 et 8.6.x antérieures à 8.6.10 sont vulnérables à l'exécution de code à distance lorsque le module de service Web RESTful ou JSON:API est activé. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'une requête POST personnalisée. |
| FLINK_FILE_DISCLOSURE | Une faille dans les versions 1.11.0, 1.11.1 et 1.11.2 d'Apache Flink permet aux pirates informatiques de lire n'importe quel fichier du système de fichiers local de JobManager via l'interface REST du processus JobManager. L'accès est limité aux fichiers accessibles par le processus JobManager. |
| GITLAB_RCE | Dans les versions 11.9 et ultérieures de GitLab Community Edition (CE) et Enterprise Edition (EE), GitLab ne valide pas correctement les fichiers image transmis à un analyseur de fichiers. Un pirate informatique peut exploiter cette faille pour exécuter des commandes à distance. |
| GoCD_RCE | Dans GoCD 21.2.0 et les versions antérieures, il existe un point de terminaison accessible sans authentification. Ce point de terminaison présente une faille de traversée de répertoire qui permet à un utilisateur de lire n'importe quel fichier sur le serveur sans authentification. |
| JENKINS_RCE | Les versions 2.56 et antérieures de Jenkins, ainsi que les versions 2.46.1 LTS et antérieures, sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique non authentifié qui utilise un objet Java sérialisé malveillant. |
| JOOMLA_RCE | Les versions 1.5.x, 2.x et 3.x de Joomla antérieures à la version 3.4.6 sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée avec un en-tête spécial contenant des objets PHP sérialisés. Les versions 3.0.0 à 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée en envoyant une requête POST contenant un objet PHP sérialisé spécialement conçu. |
| LOG4J_RCE | Dans Apache Log4j2 2.14.1 et versions antérieures, les fonctionnalités JNDI utilisées dans les configurations, les messages de journal et les paramètres ne protègent pas contre le LDAP contrôlé par le pirate informatique et les autres points de terminaison associés à JNDI. Pour en savoir plus, consultez CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT jusqu'à la version 2.3.0 permet la réinitialisation arbitraire du mot de passe et l'accès administrateur non authentifié en fournissant une valeur confirm_hash vide à verify.php. |
| OGNL_RCE | Les instances Confluence Server et Data Center contiennent une faille d'injection OGNL qui permet à un pirate informatique non authentifié d'exécuter du code arbitraire. Pour en savoir plus, consultez CVE-2021-26084. |
| OPENAM_RCE | Les serveurs OpenAM 14.6.2 et versions antérieures, ainsi que les serveurs ForgeRock AM 6.5.3 et versions antérieures, présentent une faille de désérialisation Java dans le paramètre jato.pageSession sur plusieurs pages. L'exploitation ne nécessite pas d'authentification, et l'exécution de code à distance peut être déclenchée en envoyant une seule requête /ccversion/* au serveur. La faille existe en raison de l'utilisation de Sun ONE Application. Pour en savoir plus, consultez CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : Console) contiennent une faille, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille facilement exploitable permet à un pirate informatique non authentifié ayant accès au réseau via HTTP de compromettre un serveur Oracle WebLogic. Les attaques réussies de cette faille peuvent entraîner la prise de contrôle d'Oracle WebLogic Server. Pour en savoir plus, consultez CVE-2020-14882. |
| PHPUNIT_RCE | Les versions de PHPUnit antérieures à 5.6.3 autorisent l'exécution de code à distance avec une seule requête POST non authentifiée. |
| PHP_CGI_RCE | Les versions PHP antérieures à 5.3.12 et 5.4.x antérieures à 5.4.2, lorsqu'elles sont configurées en tant que scripts CGI, permettent l'exécution de code à distance. Le code vulnérable ne gère pas correctement les chaînes de requête sans caractère = (signe égal). Cela permet aux pirates informatiques d'ajouter des options de ligne de commande qui sont exécutées sur le serveur. |
| PORTAL_RCE | La désérialisation des données non approuvées dans les versions du portail Liferay antérieures à 7.2.1 CE GA2 permet aux pirates informatiques d'exécuter du code arbitrairement et à distance via des services Web JSON. |
| REDIS_RCE | Si une instance Redis ne nécessite pas d'authentification pour exécuter des commandes d'administration, des pirates informatiques peuvent être en mesure d'exécuter du code arbitraire. |
| SOLR_FILE_EXPOSED | L'authentification n'est pas activée dans Apache Solr, un serveur de recherche Open Source. Lorsque Apache Solr ne nécessite pas d'authentification, un pirate informatique peut créer directement une requête pour activer une configuration spécifique, et finir par implémenter une falsification de requête côté serveur (SSRF) ou lire des fichiers arbitraires. |
| SOLR_RCE | Les versions d'Apache Solr de 5.0.0 à 8.3.1 sont vulnérables à l'exécution de code à distance via VelocityResponseWriter si params.resource.loader.enabled est défini sur "true". Cela permet aux pirates informatiques de créer un paramètre contenant un modèle Velocity malveillant. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Les versions d'Apache Tomcat 9.x antérieures à 9.0.31, 8.x antérieures à 8.5.51, 7.x antérieures à 7.0.100 et toutes les versions 6.x sont vulnérables à la divulgation de code source et de configuration sources via un protocole Apache JServ exposé. Dans certains cas, il est utilisé pour exécuter du code à distance si l'importation de fichiers est autorisée. |
| VBULLETIN_RCE | Les serveurs vBulletin exécutant les versions 5.0.0 à 5.5.4 sont vulnérables à l'exécution de code à distance. Cette faille peut être exploitée par un pirate informatique non authentifié qui utilise un paramètre de requête dans une requête de chaîne de routage. |
| VCENTER_RCE | Les versions 7.x antérieures à 7.0 U1c, 6.7 antérieures à 6.7 U3l et 6.5 antérieures à 6.5 U3n de VMware vCenter Server sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique qui importe un fichier de pages Java Server créé dans un répertoire accessible sur le Web, puis déclenche l'exécution de ce fichier. |
| WEBLOGIC_RCE | Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : Console) contiennent une vulnérabilité d'exécution de code à distance, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille est liée à CVE-2020-14750, CVE-2020-14882 et CVE-2020-14883. Pour en savoir plus, consultez CVE-2020-14883. |
| OS_VULNERABILITY | VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. |
| UNUSED_IAM_ROLE | L'outil de recommandation IAM a détecté un compte utilisateur disposant d'un rôle IAM qui n'a pas été utilisé au cours des 90 derniers jours. |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : propriétaire, éditeur ou lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service. |
Résultats GCP_SECURITYCENTER_MISCONFIGURATION acceptés
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : CONFIGURATION INCORRECTE.
| Nom du résultat | Description |
|---|---|
| API_KEY_APIS_UNRESTRICTED | Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. |
| API_KEY_APPS_UNRESTRICTED | Des clés API sont utilisées de manière non restreinte, autorisant une utilisation par n'importe quelle application non approuvée. |
| API_KEY_EXISTS | Un projet utilise des clés API au lieu de l'authentification standard. |
| API_KEY_NOT_ROTATED | La clé API n'a pas été alternée depuis plus de 90 jours |
| PUBLIC_COMPUTE_IMAGE | Une image Compute Engine est accessible au public. |
| CONFIDENTIAL_COMPUTING_DISABLED | L'informatique confidentielle est désactivée sur une instance Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet. |
| COMPUTE_SECURE_BOOT_DISABLED | Le démarrage sécurisé n'est pas activé pour cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. |
| DEFAULT_SERVICE_ACCOUNT_USED | Une instance est configurée pour utiliser le compte de service par défaut. |
| FULL_API_ACCESS | Une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. |
| OS_LOGIN_DISABLED | OS Login est désactivé sur cette instance. |
| PUBLIC_IP_ADDRESS | Une instance possède une adresse IP publique. |
| SHIELDED_VM_DISABLED | La VM protégée est désactivée sur cette instance. |
| COMPUTE_SERIAL_PORTS_ENABLED | Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. |
| DISK_CMEK_DISABLED | Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| HTTP_LOAD_BALANCER | Une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP au lieu d'un proxy HTTPS comme cible. |
| IP_FORWARDING_ENABLED | Le transfert IP est activé sur les instances. |
| Règle SSL faible | Une instance a une stratégie SSL faible. |
| BINARY_AUTHORIZATION_DISABLED | L'autorisation binaire est désactivée sur un cluster GKE. |
| CLUSTER_LOGGING_DISABLED | La journalisation n'est pas activée pour un cluster GKE. |
| CLUSTER_MONITORING_DISABLED | Monitoring est désactivé sur les clusters GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées afin d'accéder aux API Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | Le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE. |
| INTRANODE_VISIBILITY_DISABLED | La visibilité intranœud est désactivée pour un cluster GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. |
| NETWORK_POLICY_DISABLED | La stratégie de réseau est désactivée sur les clusters GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | Le démarrage sécurisé est désactivé pour un cluster GKE. |
| OVER_PRIVILEGED_ACCOUNT | Un compte de service possède un accès trop étendu au projet d'un cluster. |
| OVER_PRIVILEGED_SCOPES | Un compte de service de nœud possède des niveaux d'accès étendus. |
| POD_SECURITY_POLICY_DISABLED | PodSecurityPolicy est désactivé sur un cluster GKE. |
| PRIVATE_CLUSTER_DISABLED | Un cluster GKE possède un cluster privé désactivé. |
| WORKLOAD_IDENTITY_DISABLED | Un cluster GKE n'est pas abonné à une version disponible. |
| LEGACY_AUTHORIZATION_ENABLED | L'ancienne autorisation est activée sur les clusters GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| WEB_UI_ENABLED | L'interface utilisateur Web de GKE (tableau de bord) est activée. |
| AUTO_REPAIR_DISABLED | La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée. |
| AUTO_UPGRADE_DISABLED | La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. |
| CLUSTER_SHIELDED_NODES_DISABLED | Les nœuds GKE protégés ne sont pas activés pour un cluster. |
| RELEASE_CHANNEL_DISABLED | Un cluster GKE n'est pas abonné à une version disponible. |
| BIGQUERY_TABLE_CMEK_DISABLED | Une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. |
| DATASET_CMEK_DISABLED | Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. |
| EGRESS_DENY_RULE_NOT_SET | Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable. |
| FIREWALL_RULE_LOGGING_DISABLED | La journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. |
| OPEN_CASSANDRA_PORT | Un pare-feu est configuré de manière à disposer d'un port Cassandra ouvert qui autorise l'accès générique. |
| OPEN_SMTP_PORT | Un pare-feu est configuré de manière à disposer d'un port SMTP ouvert qui autorise l'accès générique. |
| OPEN_REDIS_PORT | Un pare-feu est configuré de manière à disposer d'un port REDIS ouvert qui autorise l'accès générique. |
| OPEN_POSTGRESQL_PORT | Un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique. |
| OPEN_POP3_PORT | Un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique. |
| OPEN_ORACLEDB_PORT | Un pare-feu est configuré de manière à disposer d'un port NETBIOS ouvert qui autorise l'accès générique. |
| OPEN_NETBIOS_PORT | Un pare-feu est configuré de manière à disposer d'un port NETBIOS ouvert qui autorise l'accès générique. |
| OPEN_MYSQL_PORT | Un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique. |
| OPEN_MONGODB_PORT | Un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique. |
| OPEN_MEMCACHED_PORT | Un pare-feu est configuré de manière à disposer d'un port MEMCACHED ouvert qui autorise l'accès générique. |
| OPEN_LDAP_PORT | Un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique. |
| OPEN_FTP_PORT | Un pare-feu est configuré de manière à disposer d'un port FTP ouvert qui autorise l'accès générique. |
| OPEN_ELASTICSEARCH_PORT | Un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique. |
| OPEN_DNS_PORT | Un pare-feu est configuré de manière à disposer d'un port DNS ouvert qui autorise l'accès générique. |
| OPEN_HTTP_PORT | Un pare-feu est configuré de manière à disposer d'un port HTTP ouvert qui autorise l'accès générique. |
| OPEN_DIRECTORY_SERVICES_PORT | Un pare-feu est configuré pour disposer d'un port DIRECTORY_SERVICES ouvert qui autorise l'accès générique. |
| OPEN_CISCOSECURE_WEBSM_PORT | Un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. |
| OPEN_RDP_PORT | Un pare-feu est configuré de manière à disposer d'un port RDP ouvert qui autorise l'accès générique. |
| OPEN_TELNET_PORT | Un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique. |
| OPEN_FIREWALL | Un pare-feu est configuré pour être accessible au public. |
| OPEN_SSH_PORT | Un pare-feu est configuré de manière à disposer d'un port SSH ouvert qui autorise l'accès générique. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches". |
| NON_ORG_IAM_MEMBER | Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Un utilisateur dispose du rôle d'utilisateur du compte de service ou de créateur de jetons du compte de service au niveau du projet, et non au niveau d'un compte de service spécifique. |
| ADMIN_SERVICE_ACCOUNT | Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours. |
| Clé de compte de service gérée par l'utilisateur | Un utilisateur gère une clé de compte de service. |
| PRIMITIVE_ROLES_USED | Un utilisateur dispose du rôle de base "Propriétaire", "Rédacteur" ou "Lecteur". Ces rôles sont trop permissifs et ne doivent pas être utilisés. |
| KMS_ROLE_SEPARATION | La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. |
| OPEN_GROUP_IAM_MEMBER | Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. |
| KMS_KEY_NOT_ROTATED | La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés tous les 90 jours. |
| KMS_PROJECT_HAS_OWNER | Un utilisateur dispose des autorisations "Propriétaire" sur un projet disposant de clés cryptographiques. |
| Trop d'utilisateurs KMS | Il existe plus de trois utilisateurs de clés cryptographiques. |
| OBJECT_VERSIONING_DISABLED | La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. |
| LOCKED_RETENTION_POLICY_NOT_SET | Une règle de conservation verrouillée n'est pas définie pour les journaux. |
| BUCKET_LOGGING_DISABLED | La journalisation est désactivée dans un bucket de stockage. |
| LOG_NOT_EXPORTED | Aucun récepteur de journaux approprié n'est configuré sur une ressource. |
| AUDIT_LOGGING_DISABLED | Les journaux d'audit ont été désactivés pour cette ressource. |
| MFA_NOT_ENFORCED | Certains utilisateurs n'utilisent pas la validation en deux étapes. |
| ROUTE_NOT_MONITORED | Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. |
| OWNER_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet. |
| AUDIT_CONFIG_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. |
| BUCKET_IAM_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. |
| FIREWALL_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu du réseau Virtual Private Cloud (VPC). |
| NETWORK_NOT_MONITORED | Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
| SQL_INSTANCE_NOT_MONITORED | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL. |
| DEFAULT_NETWORK | Le réseau par défaut existe dans un projet. |
| DNS_LOGGING_DISABLED | La journalisation DNS sur un réseau VPC n'est pas activée. |
| PUBSUB_CMEK_DISABLED | Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| PUBLIC_SQL_INSTANCE | Une instance de base de données Cloud SQL accepte les connexions à partir de toutes les adresses IP. |
| SSL_NOT_ENFORCED | Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. |
| AUTO_BACKUP_DISABLED | Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. |
| SQL_CMEK_DISABLED | Une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| SQL_LOG_CHECKPOINTS_DISABLED | L'option de base de données "log_checkpoints" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "on" (activée). |
| SQL_LOG_CONNECTIONS_DISABLED | L'option de base de données "log_connections" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "on" (activée). |
| SQL_LOG_DISCONNECTIONS_DISABLED | L'option de base de données "log_disconnections" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "on". |
| SQL_LOG_DURATION_DISABLED | L'option de base de données "log_duration" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "on". |
| SQL_LOG_LOCK_WAITS_DISABLED | L'option de base de données "log_lock_waits" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "on" (activée). |
| SQL_LOG_STATEMENT | L'option de base de données "log_statement" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "Ddl" (toutes les instructions de définition de données). |
| SQL_NO_ROOT_PASSWORD | Une base de données Cloud SQL ne possède pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| SQL_PUBLIC_IP | Une base de données Cloud SQL possède une adresse IP publique. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | L'option de base de données "contained database authentication" (authentification de la base de données autonome) n'est pas définie sur "off" (désactivée) pour une instance Cloud SQL pour SQL Server. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | L'indicateur de base de données cross_db_ownership_chaining n'est pas défini sur "off" pour une instance Cloud SQL pour SQL Server. |
| SQL_LOCAL_INFILE | L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée. |
| SQL_LOG_MIN_ERROR_STATEMENT | L'option de base de données log_min_error_statement n'est pas définie correctement pour une instance Cloud SQL pour PostgreSQL. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié. |
| SQL_LOG_TEMP_FILES | L'option de base de données log_temp_files d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0". |
| SQL_REMOTE_ACCESS_ENABLED | L'option de base de données "remote access" (accès à distance) pour une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée). |
| SQL_SKIP_SHOW_DATABASE_DISABLED | L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée. |
| SQL_TRACE_FLAG_3625 | L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas définie sur "activé". |
| SQL_USER_CONNECTIONS_CONFIGURED | L'option de base de données "user connections" (connexions utilisateur) est configurée pour une instance Cloud SQL pour SQL Server. |
| SQL_USER_OPTIONS_CONFIGURED | L'option de base de données "user options" (options utilisateur) est configurée pour une instance Cloud SQL pour SQL Server. |
| PUBLIC_BUCKET_ACL | Un bucket Cloud Storage est accessible au public. |
| BUCKET_POLICY_ONLY_DISABLED | L'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré. |
| BUCKET_CMEK_DISABLED | Un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. |
| FLOW_LOGS_DISABLED | Les journaux de flux sont désactivés dans un sous-réseau VPC. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Il existe des sous-réseaux privés sans accès aux API publiques Google. |
| kms_key_region_europe | En raison de la règle de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe. |
| kms_non_euro_region | En raison de la règle de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe. |
| LEGACY_NETWORK | Un ancien réseau existe dans un projet. |
| LOAD_BALANCER_LOGGING_DISABLED | La journalisation est désactivée pour l'équilibreur de charge. |
Résultats GCP_SECURITYCENTER_POSTURE_VIOLATION acceptés
Vous trouverez le mappage UDM dans le tableau Référence du mappage des champs : VIOLATION DE POSTURE.
| Nom du résultat | Description |
|---|---|
| SECURITY_POSTURE_DRIFT | Dérive par rapport aux règles définies dans la posture de sécurité. Cela est détecté par le service de posture de sécurité. |
| SECURITY_POSTURE_POLICY_DRIFT | Le service de posture de sécurité a détecté une modification apportée à une règle d'administration en dehors d'une mise à jour de la posture. |
| SECURITY_POSTURE_POLICY_DELETE | Le service de posture de sécurité a détecté qu'une règle d'administration a été supprimée. Cette suppression a eu lieu en dehors d'une mise à jour de la posture. |
| SECURITY_POSTURE_DETECTOR_DRIFT | Le service de posture de sécurité a détecté une modification apportée à un détecteur Security Health Analytics en dehors d'une mise à jour de la posture. |
| SECURITY_POSTURE_DETECTOR_DELETE | Le service de posture de sécurité a détecté qu'un module personnalisé Security Health Analytics a été supprimé. Cette suppression a eu lieu en dehors d'une mise à jour de la posture. |
Formats de journaux Security Center acceptés
L'analyseur Security Center est compatible avec les journaux au format JSON.
Exemples de journaux Security Center compatibles
Exemples de journaux GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Exemples de journaux GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Exemples de journaux GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Exemples de journaux GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Exemples de journaux GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }Exemples de journaux GCP_SECURITYCENTER_UNSPECIFIED
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Référence du mappage de champs
Cette section explique comment l'analyseur Google Security Operations mappe les champs de journaux Security Command Center aux champs UDM (Unified Data Model) de Google Security Operations pour les ensembles de données.
Référence du mappage de champs : champs de journaux bruts vers champs UDM
Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour les résultats Event Threat Detection de Security Command Center.
| Champ RawLog | Mappage UDM | Logique |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsolète) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsolète) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsolète) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsolète) |
Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé au champ UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé au champ UDM additional.fields.value.string_value. |
connections.destinationPort |
about.labels [connections_destination_port] (obsolète) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsolète) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsolète) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsolète) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Si la valeur du champ de journal message correspond au modèle d'expression régulière kubernetes, le champ UDM target.resource_ancestors.resource_type est défini sur CLUSTER.Sinon, si la valeur du champ de journal message correspond à l'expression régulière kubernetes.*?pods, le champ UDM target.resource_ancestors.resource_type est défini sur POD. |
|
about.resource.attribute.cloud.environment |
Le champ UDM about.resource.attribute.cloud.environment est défini sur GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, le champ UDM extension.auth.type est défini sur SSO. |
|
extension.mechanism |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ UDM extension.mechanism est défini sur USERNAME_PASSWORD. |
|
extensions.auth.type |
Si la valeur du champ de journal principal.user.user_authentication_status est égale à ACTIVE, le champ UDM extensions.auth.type est défini sur SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsolète) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsolète) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsolète) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsolète) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsolète) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsolète) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsolète) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ de journal sourceProperties.properties.loadBalancerName est mappé au champ UDM intermediary.resource.name. |
|
intermediary.resource.resource_type |
Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ UDM intermediary.resource.resource_type est défini sur BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si la valeur du champ de journal canonicalName n'est pas vide, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.Si la valeur du champ de journal finding_id est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé au champ UDM metadata.product_log_id.Si la valeur du champ de journal canonicalName est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé au champ UDM metadata.product_log_id. |
|
metadata.product_name |
Le champ UDM metadata.product_name est défini sur Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
Le champ UDM metadata.vendor_name est défini sur Google. |
|
network.application_protocol |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ UDM network.application_protocol est défini sur DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.indicatorContext.asn est mappé au champ UDM network.asn. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.indicatorContext.carrierName est mappé au champ UDM network.carrier_name. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.reverseDnsDomain est mappé au champ UDM network.dns_domain. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseClass est mappé au champ UDM network.dns.answers.class. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Si la valeur du champ de journal category correspond à l'expression régulière Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseValue est mappé au champ UDM network.dns.answers.data. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.domainName est mappé au champ UDM network.dns.answers.name. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.ttl est mappé au champ UDM network.dns.answers.ttl. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseType est mappé au champ UDM network.dns.answers.type. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.authAnswer est mappé au champ UDM network.dns.authoritative. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.queryName est mappé au champ UDM network.dns.questions.name. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.queryType est mappé au champ UDM network.dns.questions.type. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseCode est mappé au champ UDM network.dns.response_code. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.callerUserAgent est mappé au champ UDM network.http.user_agent. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.callerUserAgent est mappé au champ UDM network.http.user_agent. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent est mappé au champ UDM network.http.user_agent. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ UDM network.ip_protocol est défini sur l'une des valeurs suivantes :
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.organizationName est mappé au champ UDM network.organization_name. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.behaviorPeriod est mappé au champ UDM network.session_duration. |
sourceProperties.properties.sourceIp |
principal.ip |
Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.sourceIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.sourceIp est mappé au champ UDM principal.ip. |
access.callerIp |
principal.ip |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.callerIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Si la valeur du champ de journal category est égale à Evasion: Access from Anonymizing Proxy, le champ de journal sourceProperties.properties.changeFromBadIp.ip est mappé au champ UDM principal.ip. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.sourceIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.srcIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, alors si la valeur du champ de journal sourceProperties.properties.ipConnection.srcIp n'est pas égale à sourceProperties.properties.indicatorContext.ipAddress, le champ de journal sourceProperties.properties.indicatorContext.ipAddress est mappé au champ UDM principal.ip. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.callerIp est mappé au champ UDM principal.ip. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (obsolète) |
Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.scannerDomain est mappé au champ UDM principal.labels.key/value. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.scannerDomain est mappé au champ UDM additional.fields.value.string_value. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsolète) |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobState est mappé au champ principal.labels.key/value et UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobState est mappé au champ UDM additional.fields.value.string_value. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.countryCode est mappé au champ UDM principal.location.country_or_region. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.job.location est mappé au champ UDM principal.location.country_or_region. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.job.location est mappé au champ UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Si la valeur du champ de journal category est égale à Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier est mappé au champ UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.anomalousLocation.anomalousLocation est mappé au champ UDM principal.location.name. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.srcPort est mappé au champ UDM principal.port. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé au champ UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobLink est mappé au champ UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.job.jobId est mappé au champ UDM principal.process.pid. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.job.jobId est mappé au champ UDM principal.process.pid. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.srcVpc.subnetworkName est mappé au champ UDM principal.resource_ancestors.attribute.labels.value. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.srcVpc.projectId est mappé au champ UDM principal.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM principal.resource_ancestors.name et le champ UDM principal.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si la valeur du champ de journal message correspond à l'expression régulière sourceProperties.sourceId.*?customerOrganizationNumber, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé au champ UDM principal.resource.attribute.labels.key/value. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Si la valeur du champ de journal sourceProperties.properties.projectId n'est pas vide, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM principal.resource.name. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId est mappé au champ UDM principal.resource.name. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Si la valeur du champ de journal category est égale à Malware: Outgoing DoS, le champ de journal sourceProperties.properties.sourceInstanceDetails est mappé au champ UDM principal.resource.name. |
|
principal.user.account_type |
Si la valeur du champ de journal access.principalSubject correspond à l'expression régulière serviceAccount, le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.Sinon, si la valeur du champ de journal access.principalSubject correspond à l'expression régulière user, le champ UDM principal.user.account_type est défini sur CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ UDM principal.user.attribute.labels.key est défini sur rawUserAgent et le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent est mappé au champ UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Evasion: Access from Anonymizing Proxy, le champ de journal sourceProperties.properties.changeFromBadIp.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.userEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ de journal sourceProperties.properties.principalEmail est mappé au champ UDM principal.user.email_addresses.Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal sourceProperties.properties.principalEmail est mappé au champ UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography, le champ de journal access.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.principalEmail est mappé au champ UDM principal.user.email_addresses. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.vpcViolation.userEmail est mappé au champ UDM principal.user.email_addresses. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, le champ de journal sourceProperties.properties.ssoState est mappé au champ UDM principal.user.user_authentication_status. |
database.userName |
principal.user.userid |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.userName est mappé au champ UDM principal.user.userid. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.threatIntelligenceSource est mappé au champ UDM security_result.about.application. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.sourceIp est mappé au champ UDM security_result.about.ip. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName est mappé au champ UDM security_result.about.resource.name.Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.restrictedResources.resourceName est mappé au champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.allowedServices.serviceName est mappé au champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.restrictedServices.serviceName est mappé au champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.accessLevels.policyName est mappé au champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Si la valeur du champ de journal message correspond à l'expression régulière contacts.?security, le champ UDM security_result.about.user.attribute.roles.name est défini sur security.Si la valeur du champ de journal message correspond à l'expression régulière contacts.?technical, le champ UDM security_result.about.user.attribute.roles.name est défini sur Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ UDM security_result.action est défini sur BLOCK.Si la valeur du champ de journal category est égale à Brute Force: SSH, alors si la valeur du champ de journal sourceProperties.properties.attempts.authResult est égale à SUCCESS, le champ UDM security_result.action est défini sur BLOCK.Sinon, le champ UDM security_result.action est défini sur BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.restrictedResources.action est mappé au champ UDM security_result.action_details. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.restrictedServices.action est mappé au champ UDM security_result.action_details. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.allowedServices.action est mappé au champ UDM security_result.action_details. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.accessLevels.action est mappé au champ UDM security_result.action_details. |
|
security_result.alert_state |
Si la valeur du champ de journal state est égale à ACTIVE, le champ UDM security_result.alert_state est défini sur ALERTING.Sinon, le champ UDM security_result.alert_state est défini sur NOT_ALERTING. |
findingClass |
security_result.catgory_details |
Le champ de journal findingClass - category est mappé sur le champ UDM security_result.catgory_details. |
category |
security_result.catgory_details |
Le champ de journal findingClass - category est mappé sur le champ UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteInitiator est mappé au champ UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteUpdateTimer est mappé au champ UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.authResult est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.indicatorType est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.customer_industry est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.customer_name est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.lasthit est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.myVote est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.support_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_class_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_name est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.upVotes est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.downVotes est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, le champ UDM security_result.detection_fields.key est défini sur sourceProperties_contextUris_relatedFindingUri_url et le champ de journal sourceProperties.contextUris.relatedFindingUri.url est mappé au champ UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName est mappé au champ UDM security_result.detection_fields.key et le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.url est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.contextUris.workspacesUri.displayName est mappé au champ UDM security_result.detection_fields.key et le champ de journal sourceProperties.contextUris.workspacesUri.url est mappé au champ UDM security_result.detection_fields.key/value. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.public_tag_name est mappé au champ UDM intermediary.labels.key. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.description est mappé au champ UDM intermediary.labels.value. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal est mappé au champ UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si la valeur du champ de journal sourceProperties.detectionPriority est égale à HIGH, le champ UDM security_result.priority est défini sur HIGH_PRIORITY.Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à MEDIUM, le champ UDM security_result.priority est défini sur MEDIUM_PRIORITY.Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à LOW, le champ UDM security_result.priority est défini sur LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Exfiltration, le champ de journal sourceProperties.properties.vpcViolation.violationReason est mappé au champ UDM security_result.summary. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.query est mappé au champ UDM src.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolderDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentName est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.projectDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri est mappé au champ UDM src.resource_ancestors.attribute.labels.value. |
parent |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal parent est mappé au champ UDM src.resource_ancestors.name. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId est mappé au champ UDM src.resource_ancestors.name et le champ UDM src.resource_ancestors.resource_type est défini sur TABLE. |
resourceName |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal resourceName est mappé au champ UDM src.resource_ancestors.name. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolder est mappé au champ UDM src.resource_ancestors.name. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé au champ UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.projectNumber est mappé au champ UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.organizationNumber est mappé au champ UDM src.resource_ancestors.product_object_id. |
resource.type |
src.resource_ancestors.resource_subtype |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé au champ UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.displayName est mappé au champ UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ UDM src.resource.attribute.labels.key est défini sur grantees et le champ de journal database.grantees est mappé au champ UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé au champ UDM src.resource.attribute.labels.value. |
resource.displayName |
principal.hostname |
Si la valeur du champ de journal resource.type correspond au modèle d'expression régulière (?i)google.compute.Instance or google.container.Cluster, le champ de journal resource.displayName est mappé au champ UDM principal.hostname. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé au champ UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.datasetId est mappé au champ UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.projectId est mappé au champ UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.resourceUri est mappé au champ UDM src.resource.attribute.labels.value. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.backupId est mappé au champ UDM src.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal src.resource.attribute.labels.key/value est mappé au champ UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.sources.name est mappé au champ UDM src.resource.name et le champ de journal resourceName est mappé au champ UDM src.resource_ancestors.name. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource est mappé au champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource est mappé au champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.cloudsqlInstanceResource est mappé au champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.sources.name est mappé au champ UDM src.resource.name et le champ de journal resourceName est mappé au champ UDM src.resource_ancestors.name. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.tableId est mappé au champ UDM src.resource.product_object_id. |
access.serviceName |
target.application |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.serviceName est mappé au champ UDM target.application. |
sourceProperties.properties.serviceName |
target.application |
Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.serviceName est mappé au champ UDM target.application. |
sourceProperties.properties.domainName |
target.domain.name |
Si la valeur du champ de journal category est égale à Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.domainName est mappé au champ UDM target.domain.name. |
sourceProperties.properties.domains.0 |
target.domain.name |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.domains.0 est mappé au champ UDM target.domain.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action est mappé au champ UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action est mappé au champ UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member est mappé au champ UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member est mappé au champ UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin est mappé au champ UDM target.group.attribute.permissions.name. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.permissions est mappé au champ UDM target.group.attribute.permissions.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName est mappé au champ UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role est mappé au champ UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role est mappé au champ UDM target.group.attribute.roles.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName est mappé au champ UDM target.group.attribute.roles.name. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.roleName est mappé au champ UDM target.group.attribute.roles.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName est mappé au champ UDM target.group.group_display_name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.groupName est mappé au champ UDM target.group.group_display_name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.groupName est mappé au champ UDM target.group.group_display_name. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.destIp est mappé au champ UDM target.ip. |
access.methodName |
target.labels [access_methodName] (obsolète) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsolète) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsolète) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsolète) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsolète) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsolète) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsolète) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsolète) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsolète) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsolète) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsolète) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsolète) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsolète) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsolète) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (obsolète) |
Si la valeur du champ de journal category est égale à Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.methodName est mappé au champ UDM target.labels.value. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Si la valeur du champ de journal category est égale à Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.methodName est mappé au champ UDM additional.fields.value.string_value. |
sourceProperties.properties.network.location |
target.location.name |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.network.location est mappé au champ UDM target.location.name. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.destPort est mappé au champ UDM target.port. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.query est mappé au champ UDM target.process.command_line. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
Le champ de journal containers.labels.name est mappé sur le champ UDM target.resource_ancestors.attribute.labels.key, et le champ de journal containers.labels.value est mappé sur le champ UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.projectId est mappé au champ UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.subnetworkName est mappé au champ UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.network.subnetworkName est mappé au champ UDM target.resource_ancestors.value. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.network.subnetworkId est mappé au champ UDM target.resource_ancestors.value. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource est mappé au champ UDM target.resource_ancestors.name. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé au champ UDM target.resource_ancestors.name, le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ de journal sourceProperties.properties.gceInstanceId est mappé au champ UDM target.resource_ancestors.product_object_id et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.zone est mappé au champ UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM src.resource.attribute.labels.key/value [finding_id]. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
src.resource.product_object_id |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM src.resource.product_object_id. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM src.resource.attribute.labels.key/value [source_id]. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM target.resource.attribute.labels.key/value [finding_id]. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.product_object_id |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM target.resource.product_object_id. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM target.resource.attribute.labels.key/value [source_id]. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ UDM target.resource.attribute.labels.key est défini sur exportScope et le champ de journal sourceProperties.properties.exportToGcs.exportScope est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.objectName est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.originalUri est mappé au champ UDM target.resource.attribute.labels.value. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.metadataKeyOperation est mappé au champ UDM target.resource.attribute.labels.key/value. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.targets.components est mappé au champ UDM target.resource.attribute.labels.key/value. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketAccess est mappé au champ UDM target.resource.attribute.permissions.name. |
sourceProperties.properties.name |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
resourceName |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
exfiltration.targets.name |
target.resource.name |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé au champ UDM target.resource.name, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé au champ UDM target.resource.attribute.labels et le champ UDM target.resource.resource_type est défini sur TABLE.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.instanceId est mappé au champ UDM target.resource.product_object_id. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.resource_subtype.Sinon, si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ UDM target.resource.resource_subtype est défini sur Privileged Group.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ UDM target.resource.resource_subtype est défini sur BigQuery. |
|
target.resource.resource_type |
Si la valeur du champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionType correspond à l'expression régulière BUCKET, le champ UDM target.resource.resource_type est défini sur STORAGE_BUCKET.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ UDM target.resource.resource_type est défini sur TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé au champ UDM target.url.Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé au champ UDM target.url. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.gcsUri est mappé au champ UDM target.url. |
sourceProperties.properties.requestUrl |
target.url |
Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ de journal sourceProperties.properties.requestUrl est mappé au champ UDM target.url. |
sourceProperties.properties.policyLink |
target.url |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.policyLink est mappé au champ UDM target.url. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.notSeenInLast est mappé au champ UDM target.user.attribute.labels.value. |
sourceProperties.properties.attempts.username |
target.user.userid |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.username est mappé au champ UDM target.user.userid.Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal userid est mappé au champ UDM target.user.userid. |
sourceProperties.properties.principalEmail |
target.user.userid |
Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal userid est mappé au champ UDM target.user.userid. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (obsolète) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (obsolète) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsolète) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsolète) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Added Binary Executed ou Added Library Loaded, le champ de journal sourceProperties.VM_Instance_Name est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Si la valeur du champ de journal category est égale à Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, le champ de journal sourceProperties.Backend_Service est mappé au champ UDM target.resource.name et le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Si la valeur du champ de journal category est égale à Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, le champ UDM target.resource.resource_type est défini sur BACKEND_SERVICE.Si la valeur du champ de journal category est égale à Configurable Bad Domain, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : user_id extrait du champ de journal sourceProperties.properties.sensitiveRoleGrant.principalEmail, puis le champ user_id est mappé sur le champ UDM principal.user.userid. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : user_id extrait du champ de journal sourceProperties.properties.customRoleSensitivePermissions.principalEmail, puis le champ user_id est mappé sur le champ UDM principal.user.userid. |
resourceName |
principal.asset.location.name |
Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName, puis mappe le champ de journal region au champ UDM principal.asset.location.name. |
resourceName |
principal.asset.product_object_id |
Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName, puis le champ de journal asset_prod_obj_id est mappé au champ UDM principal.asset.product_object_id. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName, puis le champ de journal zone_suffix est mappé au champ UDM principal.asset.attribute.cloud.availability_zone. |
resourceName |
principal.asset.attribute.labels[project_name] |
Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName, puis le champ de journal project_name est mappé au champ UDM principal.asset.attribute.labels.value. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.methodName est mappé au champ UDM target.labels. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.methodName est mappé au champ UDM additional.fields. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.serviceName est mappé au champ UDM target.labels. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.serviceName est mappé au champ UDM additional.fields. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.attemptTimes est mappé au champ UDM target.labels. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.attemptTimes est mappé au champ UDM additional.fields. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.lastOccurredTime est mappé au champ UDM target.labels. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.lastOccurredTime est mappé au champ UDM additional.fields. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Si la valeur du champ de journal category contient l'une des valeurs suivantes, le champ de journal resource.resourcePathString est mappé au champ UDM src.resource.attribute.labels[resource_path_string].
resource.resourcePathString est mappé sur le champ UDM target.resource.attribute.labels[resource_path_string]. |
Référence de mise en correspondance des champs : identifiant d'événement et type d'événement
| Identifiant de l'événement | Type d'événement | Catégorie de sécurité |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
Les tableaux suivants contiennent les types d'événements UDM et le mappage des champs UDM pour les classes de résultats VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED et POSTURE_VIOLATION de Security Command Center.
Catégorie VULNERABILITY au type d'événement UDM
Le tableau suivant liste la catégorie VULNERABILITY et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement | Catégorie de sécurité |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Catégorie "CONFIGURATION INCORRECTE" vers le type d'événement UDM
Le tableau suivant liste la catégorie "CONFIGURATION INCORRECTE" et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| Règle SSL faible | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| Clé de compte de service gérée par l'utilisateur | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| Trop d'utilisateurs KMS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Catégorie OBSERVATION au type d'événement UDM
Le tableau suivant liste la catégorie OBSERVATION et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement |
|---|---|
| Persistance : clé SSH de projet ajoutée | SETTING_MODIFICATION |
| Persistance : ajouter un rôle sensible | RESOURCE_PERMISSIONS_CHANGE |
| Impact : instance de GPU créée | USER_RESOURCE_CREATION |
| Impact : de nombreuses instances créées | USER_RESOURCE_CREATION |
Catégorie ERROR vers type d'événement UDM
Le tableau suivant liste la catégorie ERROR et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Catégorie UNSPECIFIED au type d'événement UDM
Le tableau suivant liste la catégorie "NON SPÉCIFIÉ" et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement | Catégorie de sécurité |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Catégorie POSTURE_VIOLATION au type d'événement UDM
Le tableau suivant liste la catégorie POSTURE_VIOLATION et les types d'événements UDM correspondants.
| Identifiant de l'événement | Type d'événement |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Documentation de référence sur le mappage des champs : VULNERABILITY
Le tableau suivant liste les champs de journaux de la catégorie VULNERABILITY et les champs UDM correspondants.
| Champ RawLog | Mappage UDM | Logique |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | region extrait de resourceName à l'aide d'un modèle Grok et mappé au champ UDM principal.asset.location.name. |
| resourceName | principal.asset.product_object_id | asset_prod_obj_id extrait de resourceName à l'aide d'un modèle Grok et mappé au champ UDM principal.asset.product_object_id. |
| resourceName | principal.asset.attribute.cloud.availability_zone | zone_suffix extrait de resourceName à l'aide d'un modèle Grok et mappé au champ UDM principal.asset.attribute.cloud.availability_zone. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Référence du mappage de champ : CONFIGURATION INCORRECTE
Le tableau suivant répertorie les champs de journaux de la catégorie "MISCONFIGURATION" (Mauvaise configuration) et les champs UDM correspondants.
| Champ RawLog | Mappage UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Référence du mappage de champ : OBSERVATION
Le tableau suivant répertorie les champs de journaux de la catégorie OBSERVATION et les champs UDM correspondants.
| Champ RawLog | Mappage UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Référence du mappage de champs : ERREUR
Le tableau suivant répertorie les champs de journaux de la catégorie ERROR et les champs UDM correspondants.
| Champ RawLog | Mappage UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Référence du mappage de champs : UNSPECIFIED
Le tableau suivant liste les champs de journaux de la catégorie "UNSPECIFIED" (NON SPÉCIFIÉ) et les champs UDM correspondants.
| Champ RawLog | Mappage UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Référence du mappage de champ : POSTURE_VIOLATION
Le tableau suivant répertorie les champs de journaux de la catégorie POSTURE_VIOLATION et les champs UDM correspondants.
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal finding.resourceName n'est pas vide, le champ de journal finding.resourceName est mappé au champ UDM target.resource.name.Le champ project_name est extrait du champ de journal finding.resourceName à l'aide du modèle Grok.Si la valeur du champ project_name n'est pas vide, le champ project_name est mappé au champ UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal resourceName n'est pas vide, le champ de journal resourceName est mappé au champ UDM target.resource.name.Le champ project_name est extrait du champ de journal resourceName à l'aide du modèle Grok.Si la valeur du champ project_name n'est pas vide, le champ project_name est mappé au champ UDM target.resource_ancestors.name. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Si la valeur du champ de journal finding.cloudProvider contient l'une des valeurs suivantes, le champ de journal finding.cloudProvider est mappé au champ UDM about.resource.attribute.cloud.environment.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Si la valeur du champ de journal cloudProvider contient l'une des valeurs suivantes, le champ de journal cloudProvider est mappé au champ UDM about.resource.attribute.cloud.environment.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Si la valeur du champ de journal resource.cloudProvider contient l'une des valeurs suivantes, le champ de journal resource.cloudProvider est mappé au champ UDM target.resource.attribute.cloud.environment.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Champs courants : SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
Le tableau suivant liste les champs courants des catégories SECURITY COMMAND CENTER – VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION et leurs champs UDM correspondants.
| Champ RawLog | Mappage UDM | Logique |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsolète) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsolète) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsolète) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsolète) |
Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé au champ UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé au champ UDM additional.fields.value. |
connections.destinationPort |
about.labels [connections_destination_port] (obsolète) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsolète) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsolète) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsolète) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Le champ UDM target.resource_ancestors.resource_type est défini sur CLUSTER. |
|
about.resource.attribute.cloud.environment |
Le champ UDM about.resource.attribute.cloud.environment est défini sur GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsolète) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsolète) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsolète) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsolète) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsolète) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsolète) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsolète) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsolète) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Si la valeur du champ de journal canonicalName n'est pas vide, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.Si la valeur du champ de journal finding_id est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé au champ UDM metadata.product_log_id.Si la valeur du champ de journal canonicalName est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé au champ UDM metadata.product_log_id. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Si la valeur du champ de journal message correspond à l'expression régulière sourceProperties.sourceId.*?customerOrganizationNumber, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé au champ UDM principal.resource.attribute.labels.value. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Si la valeur du champ de journal access.principalSubject correspond à l'expression régulière serviceAccount, le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.Sinon, si la valeur du champ de journal access.principalSubject correspond à l'expression régulière user, le champ UDM principal.user.account_type est défini sur CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Si la valeur du champ de journal access.principalEmail n'est pas vide et que la valeur du champ de journal access.principalEmail correspond à l'expression régulière ^.+@.+$, le champ de journal access.principalEmail est mappé au champ UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.userid |
Si la valeur du champ de journal access.principalEmail n'est pas vide et que la valeur du champ de journal access.principalEmail ne correspond pas à l'expression régulière ^.+@.+$, le champ de journal access.principalEmail est mappé au champ UDM principal.user.userid. |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Si la valeur du champ de journal message correspond à l'expression régulière contacts.?security, le champ UDM security_result.about.user.attribute.roles.name est défini sur security.Si la valeur du champ de journal message correspond à l'expression régulière contacts.?technical, le champ UDM security_result.about.user.attribute.roles.name est défini sur Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Si la valeur du champ de journal state est égale à ACTIVE, le champ UDM security_result.alert_state est défini sur ALERTING.Sinon, le champ UDM security_result.alert_state est défini sur NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
Le champ de journal findingClass - category est mappé sur le champ UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteInitiator est mappé au champ UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteUpdateTimer est mappé au champ UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, le champ UDM security_result.detection_fields.key est défini sur sourceProperties_contextUris_relatedFindingUri_url et le champ de journal sourceProperties.contextUris.relatedFindingUri.url est mappé au champ UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName est mappé au champ UDM security_result.detection_fields.key et le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.url est mappé au champ UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.contextUris.workspacesUri.displayName est mappé au champ UDM security_result.detection_fields.key et le champ de journal sourceProperties.contextUris.workspacesUri.url est mappé au champ UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Si la valeur du champ de journal sourceProperties.detectionPriority est égale à HIGH, le champ UDM security_result.priority est défini sur HIGH_PRIORITY.Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à MEDIUM, le champ UDM security_result.priority est défini sur MEDIUM_PRIORITY.Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à LOW, le champ UDM security_result.priority est défini sur LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.query est mappé au champ UDM src.process.command_line.Sinon, le champ de journal database.query est mappé au champ UDM target.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolderDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.value.Sinon, le champ de journal resource.folders.resourceFolderDisplayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.folders.resourceFolderDisplay est mappé au champ UDM src.resource_ancestors.attribute.labels.value.Sinon, le champ de journal resource.gcpMetadata.folders.resourceFolderDisplay est mappé au champ UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.folders.resourceFolder est mappé au champ UDM src.resource_ancestors.name.Sinon, le champ de journal resource.gcpMetadata.folders.resourceFolder est mappé au champ UDM target.resource_ancestors.name. |
resource.organization |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.organization est mappé au champ UDM src.resource_ancestors.name.Sinon, le champ de journal resource.organization est mappé au champ UDM target.resource_ancestors.name. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.organization est mappé au champ UDM src.resource_ancestors.name.Sinon, le champ de journal resource.gcpMetadata.organization est mappé au champ UDM target.resource_ancestors.name. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.parentDisplayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.parentDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.gcpMetadata.parentDisplayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentName est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.parentName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.parent est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.gcpMetadata.parent est mappé au champ UDM target.resource.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.projectDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.projectDisplayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.gcpMetadata.projectDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.key/value.Sinon, le champ de journal resource.gcpMetadata.projectDisplayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé au champ UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.displayName est mappé au champ UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ UDM src.resource.attribute.labels.key est défini sur grantees et le champ de journal database.grantees est mappé au champ UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé au champ UDM src.resource.attribute.labels.value.Sinon, le champ de journal resource.displayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé au champ UDM src.resource.attribute.labels.value.Sinon, le champ de journal resource.display_name est mappé au champ UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé au champ UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé au champ UDM src.resource.attribute.labels.value.Sinon, le champ de journal resource.displayName est mappé au champ UDM target.resource.attribute.labels.value. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé au champ UDM src.resource.attribute.labels.value.Sinon, le champ de journal resource.display_name est mappé au champ UDM target.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.sources.components est mappé au champ UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal resourceName est mappé au champ UDM src.resource.name. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.serviceName est mappé au champ UDM target.application. |
access.methodName |
target.labels [access_methodName] (obsolète) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsolète) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsolète) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsolète) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsolète) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsolète) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsolète) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsolète) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsolète) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsolète) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsolète) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsolète) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsolète) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsolète) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.zone est mappé au champ UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM src.resource.attribute.labels.key/value [finding_id]. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
src.resource.product_object_id |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM src.resource.product_object_id. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM src.resource.attribute.labels.key/value [source_id]. Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé au champ UDM target.resource.attribute.labels.key/value [finding_id]. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.product_object_id |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM target.resource.product_object_id. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé au champ UDM target.resource.attribute.labels.key/value [source_id]. Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, le source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok :
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.targets.components est mappé au champ UDM target.resource.attribute.labels.key/value. |
resourceName |
target.resource.name |
Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé au champ UDM target.resource.name.Sinon, le champ de journal resourceName est mappé au champ UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RegionCode, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé au champ UDM principal.location.country_or_region.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RemoteHost, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé au champ UDM principal.ip.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à UserAgent, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé au champ UDM network.http.user_agent.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RequestUriPath, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé au champ UDM principal.url.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.compromised_account est mappé au champ UDM principal.user.userid et le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.project_identifier est mappé au champ UDM principal.resource.product_object_id.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.private_key_identifier est mappé au champ UDM principal.user.attribute.labels.value.
|
sourceProperties.action_taken |
principal.labels [action_taken] (obsolète) |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.action_taken est mappé au champ UDM principal.labels.value.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.action_taken est mappé au champ UDM additional.fields.value.
|
sourceProperties.finding_type |
principal.labels [finding_type] (obsolète) |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.finding_type est mappé au champ UDM principal.labels.value.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.finding_type est mappé au champ UDM additional.fields.value.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.url est mappé au champ UDM principal.user.attribute.labels.value.
|
sourceProperties.security_result.summary |
security_result.summary |
Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.security_result.summary est mappé au champ UDM security_result.summary.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
Étapes suivantes
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.