Mengumpulkan temuan Security Command Center

Dokumen ini menjelaskan cara mengumpulkan log Security Command Center dengan mengonfigurasi Security Command Center dan menyerap temuan Anda ke Chronicle. Dokumen ini juga mencantumkan peristiwa yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Chronicle dan Mengekspor temuan Security Command Center ke Chronicle. Deployment standar terdiri dari Security Command Center dan feed Chronicle yang dikonfigurasi untuk mengirim log ke Chronicle. Deployment setiap pelanggan mungkin berbeda dan mungkin lebih kompleks.

Deployment tersebut berisi komponen berikut:

Google Cloud: Sistem yang akan dipantau tempat Security Command Center diinstal.
Temuan Deteksi Ancaman Peristiwa Security Command Center: Mengumpulkan informasi dari sumber data dan membuat temuan.
Chronicle: Menyimpan dan menganalisis log dari Security Command Center.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser Security Command Center dengan label penyerapan berikut:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Konfigurasi Security Command Center dan Google Cloud untuk mengirim temuan ke Chronicle

Aktifkan Security Command Center.
Pastikan semua sistem dalam deployment dikonfigurasi dalam zona waktu UTC.
Aktifkan penyerapan temuan Security Command Center.

Temuan Event Threat Detection yang didukung

Bagian ini mencantumkan temuan Event Threat Detection yang didukung. Untuk mengetahui informasi tentang aturan dan temuan Deteksi Ancaman Peristiwa Security Command Center, lihat aturan Deteksi Ancaman Peristiwa.

Nama temuan	Deskripsi
Pemindaian Aktif: Log4j Rentan terhadap RCE	Mendeteksi kerentanan Log4j aktif dengan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate yang dimulai oleh pemindai kerentanan Log4j yang didukung.
{i>Brute Force<i}: SSH	Deteksi keberhasilan {i>brute force<i} SSH pada {i>host<i}.
Akses Kredensial: Anggota Eksternal Ditambahkan Ke Grup Hak Istimewa	Mendeteksi saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dibuat jika grup tersebut tidak berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.
Akses Kredensial: Grup Hak Istimewa Dibuka Untuk Publik	Mendeteksi saat Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.
Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid	Mendeteksi saat peran sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.
Penghindaran Pertahanan: Memodifikasi Kontrol Layanan VPC	Mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang ada, yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut.
Discovery: Dapat mendapatkan checkPreview objek Kubernetes sensitif	Seorang pelaku kejahatan mencoba menentukan objek sensitif apa di Google Kubernetes Engine (GKE) yang dapat mereka kueri dengan menggunakan perintah kubectl auth can-i get.
Discovery: Investigasi Mandiri Akun Layanan	Deteksi kredensial akun layanan Identity and Access Management (IAM) yang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Menghindari: Akses dari Anonymizing Proxy	Deteksi modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Pemindahan yang tidak sah: Pemindahan Data yang Tidak Sah	Mendeteksi skenario berikut: Resource yang dimiliki oleh organisasi yang dilindungi dan disimpan di luar organisasi, termasuk operasi penyalinan atau transfer. Berupaya mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.
Pemindahan yang tidak sah: Ekstraksi Data BigQuery	Mendeteksi skenario berikut: Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage di luar organisasi. Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage yang dapat diakses secara publik milik organisasi tersebut.
Pemindahan yang tidak sah: Data BigQuery ke Google Drive	Mendeteksi skenario berikut: Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke folder Google Drive.
Pemindahan yang tidak sah: Pemindahan Data yang Tidak Sah Cloud SQL	Mendeteksi skenario berikut: Data instance live yang diekspor ke bucket Cloud Storage di luar organisasi. Data instance live yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.
Pemindahan yang tidak sah: Cloud SQL Memulihkan Cadangan ke Organisasi Eksternal	Mendeteksi saat cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi.
Pemindahan yang Tidak Sah: Pemberian Hak Istimewa Berlebih Cloud SQL SQL	Mendeteksi saat pengguna atau peran Cloud SQL Postgres telah diberi semua hak istimewa ke database atau ke semua tabel, prosedur, atau fungsi dalam sebuah skema.
Gangguan Pertahanan: Autentikasi Kuat Dinonaktifkan	Verifikasi 2 langkah telah dinonaktifkan untuk organisasi.
Gangguan Pertahanan: Verifikasi Dua Langkah Dinonaktifkan	Pengguna menonaktifkan verifikasi 2 langkah.
Akses Awal: Akun Dinonaktifkan Dibajak	Akun pengguna ditangguhkan karena aktivitas mencurigakan.
Akses Awal: Kebocoran Sandi Dinonaktifkan	Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi.
Akses Awal: Serangan Berbasis Pemerintah	Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun pengguna atau komputer.
Akses Awal: Upaya Pembobolan Log4j	Mendeteksi pencarian Java Naming and Directory Interface (JNDI) dalam header atau parameter URL. Pencarian ini dapat menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya mengindikasikan upaya deteksi atau eksploitasi, bukan kerentanan atau penyusupan.
Akses Awal: Login Mencurigakan Diblokir	Login yang mencurigakan ke akun pengguna telah terdeteksi dan diblokir.
Malware Log4j: Domain Buruk	Deteksi Log4j mengeksploitasi traffic berdasarkan koneksi ke, atau pencarian, domain yang dikenal yang digunakan dalam serangan Log4j.
Malware Log4j: IP Buruk	Deteksi Log4j mengeksploitasi traffic berdasarkan koneksi ke alamat IP yang diketahui dan digunakan dalam serangan Log4j.
Malware: Domain Buruk	Deteksi malware berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui.
Malware: IP Buruk	Deteksi malware berdasarkan koneksi ke alamat IP buruk yang diketahui.
Malware: Cryptomining Domain Buruk	Deteksi penambangan kripto berdasarkan koneksi ke, atau pencarian, domain penambangan mata uang kripto yang dikenal.
Malware: Cryptomining IP Buruk	Deteksi penambangan mata uang kripto berdasarkan koneksi ke alamat IP penambangan yang diketahui.
DoS keluar	Mendeteksi traffic denial of service keluar.
Persistensi: Admin Compute Engine Menambahkan Kunci SSH	Deteksi modifikasi pada nilai kunci SSH metadata instance Compute Engine pada instance yang ditetapkan (lebih lama dari 1 minggu).
Persistensi: Admin Compute Engine Menambahkan Skrip Startup	Deteksi modifikasi pada nilai skrip startup metadata instance Compute Engine pada instance yang ditetapkan (lebih lama dari 1 minggu).
Persistensi: Pemberian IAM Tidak Wajar	Deteksi hak istimewa yang diberikan kepada pengguna IAM dan akun layanan yang bukan anggota organisasi. Pendeteksi ini menggunakan kebijakan IAM organisasi yang ada sebagai konteks. Jika pemberian IAM yang sensitif kepada anggota eksternal terjadi, dan terdapat kurang dari tiga kebijakan IAM yang serupa dengan kebijakan tersebut, pendeteksi ini akan menghasilkan temuan.
Persistensi: MethodPreview API Baru	Deteksi penggunaan layanan Google Cloud yang tidak wajar oleh akun layanan IAM.
Persistensi: Geografi Baru	Deteksi akun pengguna dan layanan IAM yang mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.
Persistensi: Agen Pengguna Baru	Deteksi akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak wajar atau mencurigakan.
Persistensi: Tombol Pengaktifan SSO	Setelan Aktifkan SSO (single sign-on) di akun admin telah dinonaktifkan.
Persistensi: Setelan SSO Diubah	Setelan SSO untuk akun admin telah diubah.
Eskalasi Hak Istimewa: Perubahan pada objectPreview RBAC Kubernetes yang sensitif	Untuk mengeskalasikan hak istimewa, pelaku kejahatan mencoba mengubah objek ClusterRole dan ClusterRoleBinding cluster-admin menggunakan permintaan PUT atau PATCH.
Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk certPreview master	Pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat master Kubernetes (CSR), yang memberinya akses admin cluster.
Eskalasi Akses: Pembuatan binding Kubernetes sensitifsPreview	Pelaku kejahatan mencoba membuat objek RoleBinding admin cluster atau ClusterRoleBinding baru untuk mengeskalasikan hak istimewanya.
Eskalasi Akses: Dapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi	Pelaku berbahaya yang melakukan kueri permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
Eskalasi Hak Istimewa: Peluncuran containerPreview Kubernetes dengan hak istimewa	Pelaku berbahaya membuat Pod yang berisi container atau container dengan hak istimewa. Container dengan hak istimewa memiliki kolom hak istimewa yang disetel ke true. Penampung dengan kemampuan eskalasi hak istimewa memiliki kolom allowPermissionsEskalasi yang ditetapkan ke true.
Akses Awal: Kunci Akun Layanan Dorman Dibuat	Mendeteksi peristiwa saat kunci dibuat untuk akun layanan yang dikelola oleh pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Hierarki Proses	Detektor memeriksa hierarki proses dari semua proses yang berjalan. Jika proses adalah biner shell, detektor akan memeriksa proses induknya. Jika proses induk adalah biner yang seharusnya tidak memunculkan proses shell, detektor akan memicu sebuah temuan.
Shell Turunan yang Tidak Terduga	Detektor memeriksa hierarki proses dari semua proses yang berjalan. Jika proses adalah biner shell, detektor akan memeriksa proses induknya. Jika proses induk adalah biner yang seharusnya tidak memunculkan proses shell, detektor akan memicu sebuah temuan.
Eksekusi: Menambahkan Biner Berbahaya yang Dijalankan	Detektor mencari biner yang sedang dieksekusi yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Eksekusi: Modifikasi Biner Berbahaya Dieksekusi	Detektor mencari biner yang sedang dieksekusi, yang awalnya disertakan dalam image container, tetapi dimodifikasi selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multi-Langkah Anomali untuk Aktivitas Admin	Mendeteksi saat permintaan delegasi multilangkah yang tidak wajar ditemukan untuk aktivitas administratif.
Akun Akses Darurat yang Digunakan: break_kaca_account	Mendeteksi penggunaan akun akses darurat (akses darurat)
Domain Buruk yang Dapat Dikonfigurasi: APT29_Domains	Mendeteksi koneksi ke nama domain yang ditentukan
Pemberian Peran Tak Terduga: Peran yang dilarang	Mendeteksi saat peran tertentu diberikan kepada pengguna
IP Buruk yang Dapat Dikonfigurasi	Mendeteksi koneksi ke alamat IP yang ditentukan
Jenis instance Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan.
Gambar sumber Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine dengan gambar atau kelompok gambar yang tidak cocok dengan daftar yang ditentukan
Region Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan.
Peran khusus dengan izin yang dilarang	Mendeteksi saat peran khusus dengan izin IAM yang ditentukan diberikan ke akun utama.
Panggilan Cloud API Tak Terduga	Mendeteksi saat akun utama tertentu memanggil metode tertentu terhadap resource yang ditentukan. Temuan hanya dibuat jika semua ekspresi reguler dicocokkan dalam satu entri log.

Temuan GCP_securityCENTER_ERROR yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: ERROR.

Nama temuan	Deskripsi
VPC_SC_RESTRICTION	Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk sebuah project. Project dilindungi oleh perimeter layanan, dan akun layanan Security Command Center tidak memiliki akses ke perimeter tersebut.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Security Command Center tidak dapat mengirim temuan ke Logging.
API_DISABLED	API yang diperlukan dinonaktifkan untuk project. Layanan yang dinonaktifkan tidak dapat mengirim temuan ke Security Command Center.
KTD_IMAGE_PULL_FAILURE	Container Threat Detection tidak dapat diaktifkan di cluster karena image container yang diperlukan tidak dapat diambil (didownload) dari gcr.io, host image Container Registry. Image diperlukan untuk men-deploy Container Threat Detection DaemonSet yang diperlukan Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection tidak dapat diaktifkan di cluster Kubernetes. Pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan Container Threat Detection. Saat dilihat di Konsol Google Cloud, detail temuan mencakup pesan error yang ditampilkan Google Kubernetes Engine saat Container Threat Detection mencoba men-deploy Objek DaemonSet Deteksi Ancaman Container.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Akun layanan tidak memiliki izin yang diperlukan Container Threat Detection. Container Threat Detection dapat berhenti berfungsi dengan baik karena instrumentasi deteksi tidak dapat diaktifkan, diupgrade, atau dinonaktifkan.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection tidak dapat menghasilkan temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tidak memiliki izin. Hal ini membuat Container Threat Detection tidak berhasil diaktifkan di cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Akun layanan Security Command Center tidak memiliki izin yang diperlukan untuk berfungsi dengan baik. Tidak ada temuan yang dihasilkan.

Temuan GCP_securityCENTER_OBSERVATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: OBSERVATION.

Nama temuan	Deskripsi
Persistensi: Kunci SSH Project Ditambahkan	Kunci SSH level project dibuat dalam sebuah project, untuk project yang berusia lebih dari 10 hari.
Persistensi: Menambahkan Peran Sensitif	Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan dalam organisasi yang berusia lebih dari 10 hari.

Temuan GCP_securityCENTER_UNSPECIFIED yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: UNSPECIFIED.

Nama temuan	Deskripsi
OPEN_FIREWALL	Firewall dikonfigurasi agar terbuka untuk akses publik.

Temuan GCP_securityCENTER_VULNERABILITY yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: VULNERABILITY.

Nama temuan	Deskripsi
DISK_CSEK_DISABLED	Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Pendeteksi kasus khusus.
ALPHA_CLUSTER_ENABLED	Fitur cluster Alfa diaktifkan untuk cluster GKE.
AUTO_REPAIR_DISABLED	Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan sehat dan berjalan, dinonaktifkan.
AUTO_UPGRADE_DISABLED	Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan node pool pada Kubernetes versi stabil yang terbaru, dinonaktifkan.
CLUSTER_SHIELDED_NODES_DISABLED	Node GKE yang terlindungi tidak diaktifkan untuk sebuah cluster
COS_NOT_USED	VM Compute Engine tidak menggunakan Container-Optimized OS yang dirancang untuk menjalankan container Docker di Google Cloud dengan aman.
INTEGRITY_MONITORING_DISABLED	Pemantauan integritas dinonaktifkan untuk cluster GKE.
IP_ALIAS_DISABLED	Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.
LEGACY_METADATA_ENABLED	Metadata lama diaktifkan di cluster GKE.
RELEASE_CHANNEL_DISABLED	Cluster GKE tidak berlangganan saluran rilis.
DATAPROC_IMAGE_OUTDATED	Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).
PUBLIC_DATASET	{i>Dataset<i} dikonfigurasikan agar terbuka untuk akses publik.
DNSSEC_DISABLED	DNSSEC dinonaktifkan untuk zona Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Peran Redis IAM ditetapkan di level organisasi atau folder.
KMS_PUBLIC_KEY	Kunci kriptografis Cloud KMS dapat diakses secara publik.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Flag database autentikasi database yang dimuat untuk instance Cloud SQL untuk SQL Server tidak disetel ke nonaktif.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Flag database cross_db_Ownership_chaining untuk instance Cloud SQL untuk SQL Server belum dinonaktifkan.
SQL_EXTERNAL_SCRIPTS_ENABLED	Skrip eksternal mengaktifkan flag database untuk instance Cloud SQL untuk SQL Server tidak disetel ke nonaktif.
SQL_LOCAL_INFILE	Flag database local_infile bagi instance Cloud SQL untuk MySQL tidak disetel ke nonaktif.
SQL_LOG_ERROR_VERBOSITY	Flag database log_error_verbosity untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke default atau lebih ketat.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Flag database log_min_duration_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "-1".
SQL_LOG_MIN_ERROR_STATEMENT	Tanda database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan dengan benar.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Tanda database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
SQL_LOG_MIN_MESSAGES	Flag database log_min_messages untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke peringatan.
SQL_LOG_EXECUTOR_STATS_ENABLED	Flag database log_executor_status untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_HOSTNAME_ENABLED	Flag database log_nama host untuk instance Cloud SQL untuk PostgreSQL tidak dinonaktifkan.
SQL_LOG_PARSER_STATS_ENABLED	Flag database log_parser_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_PLANNER_STATS_ENABLED	Flag database log_planner_stats untuk instance Cloud SQL untuk PostgreSQL tidak dinonaktifkan.
SQL_LOG_STATEMENT_STATS_ENABLED	Flag database log_statement_stats untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_TEMP_FILES	Flag database log_temp_files untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "0".
SQL_REMOTE_ACCESS_ENABLED	Flag database akses jarak jauh untuk instance Cloud SQL untuk SQL Server tidak disetel ke nonaktif.
SQL_SKIP_SHOW_DATABASE_DISABLED	Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak disetel ke aktif.
SQL_TRACE_FLAG_3625	Flag database 3625 (flag pelacakan) untuk instance Cloud SQL untuk SQL Server tidak disetel ke aktif.
SQL_USER_CONNECTIONS_CONFIGURED	Flag database koneksi pengguna untuk instance Cloud SQL untuk SQL Server dikonfigurasikan.
SQL_USER_OPTIONS_CONFIGURED	Flag database opsi pengguna untuk instance Cloud SQL untuk SQL Server dikonfigurasikan.
SQL_WEAK_ROOT_PASSWORD	Database Cloud SQL memiliki sandi lemah yang dikonfigurasi untuk akun root. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
PUBLIC_LOG_BUCKET	Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik.
ACCESSIBLE_GIT_REPOSITORY	Repositori Git ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT.
ACCESSIBLE_SVN_REPOSITORY	Repositori SVN ditampilkan secara publik. Untuk mengatasi temuan ini, hapus akses tidak disengaja oleh publik ke repositori SVN.
CACHEABLE_PASSWORD_INPUT	Sandi yang dimasukkan ke aplikasi web dapat disimpan dalam cache browser biasa, bukan penyimpanan sandi yang aman.
CLEAR_TEXT_PASSWORD	Sandi dikirimkan dalam teks yang jelas dan dapat disadap. Untuk mengatasi temuan ini, enkripsi sandi yang ditransmisikan melalui jaringan.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Asal sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain root yang diharapkan adalah bagian dari nilai header Asal sebelum menampilkannya di header respons Access-Control-Allow-Origin. Untuk karakter pengganti subdomain, tambahkan titik ke domain root—misalnya, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Asal sebelum menampilkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan benar-benar cocok dengan nilai header Asal sebelum menunjukkannya di header respons Access-Control-Allow-Origin—misalnya, .equals("".google.com"").
INVALID_CONTENT_TYPE	Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, setel header HTTP X-Content-Type-Options dengan nilai yang benar.
INVALID_HEADER	Header keamanan mengalami kesalahan sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.
MISMATCHING_SECURITY_HEADER_VALUES	Header keamanan memiliki nilai duplikat yang tidak cocok, yang mengakibatkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.
MISSPELLED_SECURITY_HEADER_NAME	Header keamanan salah eja dan akan diabaikan. Untuk mengatasi temuan ini, setel header keamanan HTTP dengan benar.
MIXED_CONTENT	Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk mengatasi temuan ini, pastikan semua resource disajikan melalui HTTPS.
OUTDATED_LIBRARY	Library yang memiliki kerentanan umum terdeteksi. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru.
SERVER_SIDE_REQUEST_FORGERY	Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat diminta aplikasi web.
SESSION_ID_LEAK	Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna di header permintaan Perujuknya. Kerentanan ini memberikan akses domain penerima ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.
SQL_INJECTION	Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL.
STRUTS_INSECURE_DESERIALIZATION	Penggunaan versi Apache Struts yang rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Strut ke versi terbaru.
XSS	Bidang dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data yang tidak tepercaya dari pengguna.
XSS_ANGULAR_CALLBACK	String yang disediakan pengguna tidak di-escape dan AngularJS dapat menginterpolasinya. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna yang ditangani oleh framework Angular.
XSS_ERROR	Bidang dalam aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs. Untuk mengatasi temuan ini, validasi dan hindari data yang tidak tepercaya dari pengguna.
XXE_REFLECTED_FILE_LEAKAGE	Kerentanan XML External Entity (XXE) terdeteksi. Kerentanan ini dapat menyebabkan aplikasi web membocorkan file pada {i>host<i}. Untuk mengatasi temuan ini, konfigurasikan parser XML untuk melarang entity eksternal.
BASIC_AUTHENTICATION_ENABLED	IAM atau autentikasi sertifikat klien harus diaktifkan di Cluster Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Cluster Kubernetes harus dibuat dengan Sertifikat Klien yang diaktifkan.
LABELS_NOT_USED	Label dapat digunakan untuk menguraikan informasi penagihan.
PUBLIC_STORAGE_OBJECT	ACL objek penyimpanan tidak boleh memberikan akses kepada allUsers.
SQL_BROAD_ROOT_LOGIN	Akses root ke database SQL harus dibatasi untuk IP tepercaya yang diizinkan.
WEAK_CREDENTIALS	Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack. Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan mengeksekusi skrip, serta menambahkan dokumen lain ke layanan.
EXPOSED_GRAFANA_ENDPOINT	Di Grafana 8.0.0 sampai 8.3.0, pengguna dapat mengakses tanpa otentikasi sebuah endpoint yang memiliki kerentanan directory traversal yang memungkinkan setiap pengguna untuk membaca file apa pun di server tanpa otentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798.
EXPOSED_METABASE	Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi Spring Boot terekspos. Beberapa endpoint default, seperti /heapdump, mungkin mengekspos informasi sensitif. Endpoint lain, seperti /env, dapat menyebabkan eksekusi kode jarak jauh. Saat ini, hanya /heapdump yang dicentang.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Detektor ini memeriksa apakah Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Remote Method Invocation yang tidak dilindungi memungkinkan pengguna jarak jauh membuat javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari URL arbitrer.
JUPYTER_NOTEBOOK_EXPOSED_UI	Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host. Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh.
KUBERNETES_API_EXPOSED	Kubernetes API diekspos dan dapat diakses oleh pemanggil yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan WordPress yang belum selesai akan menampilkan halaman /wp-admin/install.php, yang memungkinkan penyerang menyetel sandi admin dan, mungkin, menyusupi sistem.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Pendeteksi ini memeriksa adanya instance Jenkins yang tidak diautentikasi dengan mengirimkan ping pemeriksaan ke endpoint /view/all/newJob sebagai pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir createItem, yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh.
APACHE_HTTPD_RCE	Kecacatan ditemukan pada Apache HTTP Server 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang diinterpretasikan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Data CVE CVE-2021-41773 Kerentanan Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Penyerang dapat membuat URI ke server web Apache yang menyebabkan mod_proxy meneruskan permintaan ke server asal yang dipilih oleh penyerang. Masalah ini memengaruhi server HTTP Apache 2.4.48 dan versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Data CVE CVE-2021-40438 Kerentanan Apache HTTP Server 2.4
CONSUL_RCE	Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan -enable-script-checks yang disetel ke benar (true) dan Consul HTTP API tidak aman dan dapat diakses melalui jaringan. Di Consul 0.9.0 dan versi sebelumnya, pemeriksaan skrip diaktifkan secara default. Untuk informasi selengkapnya, lihat Melindungi Konsul dari Risiko RCE dalam Konfigurasi Tertentu. Untuk memeriksa kerentanan ini, Deteksi Kerentanan Cepat mendaftarkan layanan pada instance Consul menggunakan endpoint REST /v1/health/service, yang kemudian menjalankan salah satu tindakan berikut: * Perintah curl ke server jarak jauh di luar jaringan. Penyerang dapat menggunakan perintah curl untuk mengambil data secara tidak sah dari server. * Perintah printf. Deteksi Kerentanan Cepat kemudian memverifikasi output perintah menggunakan endpoint REST /v1/health/service. * Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint /v1/agent/service/deregister/ REST.
DRUID_RCE	Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsi ini ditujukan untuk digunakan di lingkungan dengan tingkat kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, terlepas dari konfigurasi server. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646.
DRUPAL_RCE	Versi Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6, dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX API Formulir. Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10 rentan terhadap eksekusi kode jarak jauh ketika modul RESTful Web Service atau JSON:API diaktifkan. Kerentanan ini dapat dimanfaatkan oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom.
FLINK_FILE_DISCLOSURE	Kerentanan di Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca file apa pun pada sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang dapat diakses oleh proses JobManager.
GITLAB_RCE	Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar dengan benar yang diteruskan ke parser file. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh.
GoCD_RCE	Pada GoCD 21.2.0 dan versi sebelumnya, ada endpoint yang dapat diakses tanpa otentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi.
JENKINS_RCE	Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial berbahaya.
JOOMLA_RCE	Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP yang diserialisasi. Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat.
LOG4J_RCE	Di Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang dan endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT melalui versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin yang tidak diautentikasi dengan memberikan nilai Confirm_hash kosong untuk Verify.php.
OGNL_RCE	Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084.
OPENAM_RCE	Server OpenAM 14.6.2 dan versi sebelumnya serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki kerentanan deserialisasi Java pada parameter jato.pageSession di beberapa halaman. Eksploitasi tidak memerlukan autentikasi, dan eksekusi kode jarak jauh dapat dipicu dengan mengirimkan satu permintaan /ccversion/* yang dibuat ke server. Kerentanan ini ada karena penggunaan Sun ONE Application. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Versi tertentu dari produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) berisi kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengambil alih Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882.
PHPUNIT_RCE	Versi PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan satu permintaan POST yang tidak diautentikasi.
PHP_CGI_RCE	Versi PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, saat dikonfigurasikan sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan tidak menangani dengan benar string kueri yang tidak memiliki karakter = (sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi baris perintah yang dijalankan di server.
PORTAL_RCE	Deserialisasi data yang tidak tepercaya di versi Portal Liferay sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui layanan web JSON.
REDIS_RCE	Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer.
SOLR_FILE_EXPOSED	Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer.
SOLR_RCE	Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap eksekusi kode jarak jauh melalui VelocityResponseWriter jika params.resource.loader.enabled disetel ke true. Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya.
STRUTS_RCE	Versi Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1 rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Jenis Konten yang dibuat. Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat. Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan terhadap eksekusi kode jarak jauh ketika alwaysSelectFullNamespace diatur ke true dan ada konfigurasi tindakan tertentu lainnya.
TOMCAT_FILE_DISCLOSURE	Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum 7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk melakukan eksekusi kode jarak jauh jika upload file diizinkan.
VBULLETIN_RCE	Server vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dimanfaatkan oleh penyerang yang tidak diautentikasi dengan menggunakan parameter kueri dalam permintaan routestring.
VCENTER_RCE	VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l, dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages buatan ke direktori yang dapat diakses web, lalu memicu eksekusi file tersebut.
WEBLOGIC_RCE	Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) berisi kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883.
OS_VULNERABILITY	VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang terinstal untuk VM Compute Engine.
UNUSED_IAM_ROLE	Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir.

Temuan GCP_securityCENTER_MISCONFIGURATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: MISCONFIGURATION.

Nama temuan	Deskripsi
API_KEY_APIS_UNRESTRICTED	Ada kunci API yang digunakan terlalu luas. Untuk mengatasi hal ini, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi.
API_KEY_APPS_UNRESTRICTED	Ada kunci API yang digunakan dengan cara yang tidak dibatasi, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya
API_KEY_EXISTS	Sebuah project menggunakan kunci API, bukan autentikasi standar.
API_KEY_NOT_ROTATED	Kunci API belum dirotasi selama lebih dari 90 hari
PUBLIC_COMPUTE_IMAGE	Image Compute Engine dapat diakses secara publik.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing dinonaktifkan pada instance Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Kunci SSH di seluruh project digunakan, sehingga semua instance dalam project dapat login.
COMPUTE_SECURE_BOOT_DISABLED	Shielded VM ini tidak mengaktifkan Booting Aman. Menggunakan Booting Aman membantu melindungi instance mesin virtual dari ancaman lanjutan, seperti rootkit dan bootkit.
DEFAULT_SERVICE_ACCOUNT_USED	Instance dikonfigurasi untuk menggunakan akun layanan default.
FULL_API_ACCESS	Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.
OS_LOGIN_DISABLED	Login OS dinonaktifkan pada instance ini.
PUBLIC_IP_ADDRESS	Instance memiliki alamat IP publik.
SHIELDED_VM_DISABLED	Shielded VM dinonaktifkan pada instance ini.
COMPUTE_SERIAL_PORTS_ENABLED	Port serial diaktifkan untuk sebuah instance, sehingga memungkinkan koneksi ke konsol seri instance.
DISK_CMEK_DISABLED	Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
HTTP_LOAD_BALANCER	Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.
IP_FORWARDING_ENABLED	Penerusan IP diaktifkan pada instance.
WEAK_SSL_POLICY	Instance memiliki kebijakan SSL yang lemah.
BINARY_AUTHORIZATION_DISABLED	Otorisasi Biner dinonaktifkan di cluster GKE.
CLUSTER_LOGGING_DISABLED	Logging tidak diaktifkan untuk cluster GKE.
CLUSTER_MONITORING_DISABLED	Pemantauan dinonaktifkan di cluster GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Enkripsi rahasia lapisan aplikasi dinonaktifkan di cluster GKE.
INTRANODE_VISIBILITY_DISABLED	Visibilitas intranode dinonaktifkan untuk cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Control Plane Authorized Networks tidak diaktifkan di cluster GKE.
NETWORK_POLICY_DISABLED	Kebijakan jaringan dinonaktifkan di cluster GKE.
NODEPOOL_SECURE_BOOT_DISABLED	Booting Aman dinonaktifkan untuk cluster GKE.
OVER_PRIVILEGED_ACCOUNT	Akun layanan memiliki akses project yang terlalu luas dalam cluster.
OVER_PRIVILEGED_SCOPES	Akun layanan node memiliki cakupan akses yang luas.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy dinonaktifkan di cluster GKE.
PRIVATE_CLUSTER_DISABLED	Cluster Pribadi dinonaktifkan di cluster GKE.
WORKLOAD_IDENTITY_DISABLED	Cluster GKE tidak berlangganan saluran rilis.
LEGACY_AUTHORIZATION_ENABLED	Otorisasi Lama diaktifkan di cluster GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Boot disk di kumpulan node ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
WEB_UI_ENABLED	UI web GKE (dasbor) diaktifkan.
AUTO_REPAIR_DISABLED	Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan sehat dan berjalan, dinonaktifkan.
AUTO_UPGRADE_DISABLED	Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan node pool pada Kubernetes versi stabil yang terbaru, dinonaktifkan.
CLUSTER_SHIELDED_NODES_DISABLED	Node GKE yang terlindungi tidak diaktifkan untuk sebuah cluster
RELEASE_CHANNEL_DISABLED	Cluster GKE tidak berlangganan saluran rilis.
BIGQUERY_TABLE_CMEK_DISABLED	Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan.
DATASET_CMEK_DISABLED	Set data BigQuery tidak dikonfigurasi untuk menggunakan CMEK default. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan.
EGRESS_DENY_RULE_NOT_SET	Aturan penolakan keluar tidak ditetapkan di firewall. Aturan penolakan keluar harus disetel untuk memblokir traffic keluar yang tidak diinginkan.
FIREWALL_RULE_LOGGING_DISABLED	Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan.
OPEN_CASSANDRA_PORT	Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang memungkinkan akses generik.
OPEN_SMTP_PORT	Firewall dikonfigurasi agar memiliki port SMTP terbuka yang mengizinkan akses generik.
OPEN_REDIS_PORT	Firewall dikonfigurasi agar memiliki port REDIS terbuka yang mengizinkan akses umum.
OPEN_POSTGRESQL_PORT	Firewall dikonfigurasi agar memiliki port PostgreSQL terbuka yang mengizinkan akses generik.
OPEN_POP3_PORT	Firewall dikonfigurasi agar memiliki port POP3 terbuka yang mengizinkan akses generik.
OPEN_ORACLEDB_PORT	Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang mengizinkan akses generik.
OPEN_NETBIOS_PORT	Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang mengizinkan akses generik.
OPEN_MYSQL_PORT	Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses generik.
OPEN_MONGODB_PORT	Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses generik.
OPEN_MEMCACHED_PORT	Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang mengizinkan akses generik.
OPEN_LDAP_PORT	Firewall dikonfigurasi agar memiliki port LDAP terbuka yang mengizinkan akses generik.
OPEN_FTP_PORT	Firewall dikonfigurasikan agar memiliki porta FTP terbuka yang mengizinkan akses generik.
OPEN_ELASTICSEARCH_PORT	Firewall dikonfigurasi agar memiliki port ElastICSEARCH terbuka yang memungkinkan akses generik.
OPEN_DNS_PORT	Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses generik.
OPEN_HTTP_PORT	Firewall dikonfigurasi agar memiliki port HTTP terbuka yang memungkinkan akses generik.
OPEN_DIRECTORY_SERVICES_PORT	Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICE terbuka dan mengizinkan akses generik.
OPEN_CISCOSECURE_WEBSM_PORT	Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses generik.
OPEN_RDP_PORT	Firewall dikonfigurasi agar memiliki port RDP terbuka yang mengizinkan akses generik.
OPEN_TELNET_PORT	Firewall dikonfigurasi agar memiliki port TELNET terbuka yang mengizinkan akses generik.
OPEN_FIREWALL	Firewall dikonfigurasi agar terbuka untuk akses publik.
OPEN_SSH_PORT	{i>Firewall<i} dikonfigurasi agar memiliki porta SSH{i> <i}terbuka yang memungkinkan akses generik.
SERVICE_ACCOUNT_ROLE_SEPARATION	Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas".
NON_ORG_IAM_MEMBER	Ada pengguna yang tidak menggunakan kredensial organisasi. Sesuai dengan CIS Google Cloud Foundations 1.0, saat ini hanya identitas dengan alamat email @gmail.com yang memicu detektor ini.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu.
ADMIN_SERVICE_ACCOUNT	Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan buatan pengguna.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Kunci akun layanan belum dirotasi selama lebih dari 90 hari.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Pengguna mengelola kunci akun layanan.
PRIMITIVE_ROLES_USED	Pengguna memiliki peran dasar, Pemilik, Penulis, atau Pembaca. Peran ini terlalu permisif dan tidak boleh digunakan.
KMS_ROLE_SEPARATION	Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter.
OPEN_GROUP_IAM_MEMBER	Akun Google Grup yang dapat digabungkan tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM.
KMS_KEY_NOT_ROTATED	Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari.
KMS_PROJECT_HAS_OWNER	Pengguna memiliki izin Pemilik pada project yang memiliki kunci kriptografi.
TOO_MANY_KMS_USERS	Ada lebih dari tiga pengguna kunci kriptografis.
OBJECT_VERSIONING_DISABLED	Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi.
LOCKED_RETENTION_POLICY_NOT_SET	Kebijakan retensi yang terkunci tidak ditetapkan untuk log.
BUCKET_LOGGING_DISABLED	Ada bucket penyimpanan tanpa logging diaktifkan.
LOG_NOT_EXPORTED	Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi.
AUDIT_LOGGING_DISABLED	Logging audit telah dinonaktifkan untuk resource ini.
MFA_NOT_ENFORCED	Ada pengguna yang tidak menggunakan verifikasi 2 langkah.
ROUTE_NOT_MONITORED	Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
OWNER_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.
AUDIT_CONFIG_NOT_MONITORED	Notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit.
BUCKET_IAM_NOT_MONITORED	Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan Peran Khusus.
FIREWALL_NOT_MONITORED	Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC).
NETWORK_NOT_MONITORED	Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
SQL_INSTANCE_NOT_MONITORED	Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.
DEFAULT_NETWORK	Jaringan default ada dalam project.
DNS_LOGGING_DISABLED	Logging DNS di jaringan VPC tidak diaktifkan.
PUBSUB_CMEK_DISABLED	Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
PUBLIC_SQL_INSTANCE	Instance database Cloud SQL menerima koneksi dari semua alamat IP.
SSL_NOT_ENFORCED	Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL.
AUTO_BACKUP_DISABLED	Database Cloud SQL tidak mengaktifkan pencadangan otomatis.
SQL_CMEK_DISABLED	Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
SQL_LOG_CHECKPOINTS_DISABLED	Flag database log_checkpoints untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke aktif.
SQL_LOG_CONNECTIONS_DISABLED	Flag database log_connections untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke aktif.
SQL_LOG_DISCONNECTIONS_DISABLED	Flag database log_disconnections untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke aktif.
SQL_LOG_DURATION_DISABLED	Flag database log_duration bagi instance Cloud SQL untuk PostgreSQL tidak disetel ke aktif.
SQL_LOG_LOCK_WAITS_DISABLED	Flag database log_lock_waits untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke aktif.
SQL_LOG_STATEMENT	Tanda database log_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke Ddl (semua pernyataan definisi data).
SQL_NO_ROOT_PASSWORD	Database Cloud SQL tidak memiliki sandi yang dikonfigurasi untuk akun root. Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
SQL_PUBLIC_IP	Database Cloud SQL memiliki alamat IP publik.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Flag database autentikasi database yang dimuat untuk instance Cloud SQL untuk SQL Server tidak disetel ke nonaktif.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Flag database cross_db_Ownership_chaining untuk instance Cloud SQL untuk SQL Server belum dinonaktifkan.
SQL_LOCAL_INFILE	Flag database local_infile bagi instance Cloud SQL untuk MySQL tidak disetel ke nonaktif.
SQL_LOG_MIN_ERROR_STATEMENT	Tanda database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan dengan benar.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Tanda database log_min_error_statement untuk instance Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
SQL_LOG_TEMP_FILES	Flag database log_temp_files untuk instance Cloud SQL untuk PostgreSQL tidak ditetapkan ke "0".
SQL_REMOTE_ACCESS_ENABLED	Flag database akses jarak jauh untuk instance Cloud SQL untuk SQL Server tidak disetel ke nonaktif.
SQL_SKIP_SHOW_DATABASE_DISABLED	Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak disetel ke aktif.
SQL_TRACE_FLAG_3625	Flag database 3625 (flag pelacakan) untuk instance Cloud SQL untuk SQL Server tidak disetel ke aktif.
SQL_USER_CONNECTIONS_CONFIGURED	Flag database koneksi pengguna untuk instance Cloud SQL untuk SQL Server dikonfigurasikan.
SQL_USER_OPTIONS_CONFIGURED	Flag database opsi pengguna untuk instance Cloud SQL untuk SQL Server dikonfigurasikan.
PUBLIC_BUCKET_ACL	Bucket Cloud Storage dapat diakses secara publik.
BUCKET_POLICY_ONLY_DISABLED	Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.
BUCKET_CMEK_DISABLED	Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Pendeteksi ini memerlukan konfigurasi tambahan agar dapat diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
FLOW_LOGS_DISABLED	Ada subnetwork VPC yang log alirannya dinonaktifkan.
PRIVATE_GOOGLE_ACCESS_DISABLED	Ada subnetwork pribadi tanpa akses ke API publik Google.
kms_key_region_europe	Karena kebijakan perusahaan, semua kunci enkripsi harus tetap disimpan di Eropa.
kms_non_euro_region	Karena kebijakan perusahaan, semua kunci enkripsi harus tetap disimpan di Eropa.
LEGACY_NETWORK	Ada jaringan lama di sebuah project.
LOAD_BALANCER_LOGGING_DISABLED	Logging dinonaktifkan untuk load balancer.

Temuan GCP_securityCENTER_POSTURE_VIOLATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: POSTURE VIOLATION.

Nama temuan	Deskripsi
SECURITY_POSTURE_DRIFT	Beralih dari kebijakan yang telah ditentukan dalam postur keamanan. Hal ini terdeteksi oleh layanan postur keamanan.
SECURITY_POSTURE_POLICY_DRIFT	Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar update postur.
SECURITY_POSTURE_POLICY_DELETE	Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.
SECURITY_POSTURE_DETECTOR_DRIFT	Layanan postur keamanan mendeteksi perubahan pada detektor Security Health Analytics yang terjadi di luar pembaruan postur.
SECURITY_POSTURE_DETECTOR_DELETE	Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar pembaruan postur.

Referensi pemetaan kolom

Bagian ini menjelaskan cara parser Chronicle memetakan kolom log Security Command Center ke kolom Chronicle Unified Data Model (UDM) untuk set data.

Referensi pemetaan kolom: kolom log mentah ke kolom UDM

Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk temuan Deteksi Ancaman Peristiwa Security Command Center.

Kolom RawLog	Pemetaan UDM	Logika
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `about.labels.value`.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `kubernetes`, kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke CLUSTER.
	`about.resource.attribute.cloud.environment`	Kolom UDM `about.resource.attribute.cloud.environment` disetel ke `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle`, kolom UDM `extension.auth.type` disetel ke `SSO`.
	`extension.mechanism`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom UDM `extension.mechanism` disetel ke `USERNAME_PASSWORD`.
	`extensions.auth.type`	Jika nilai kolom log `principal.user.user_authentication_status` sama dengan `ACTIVE`, kolom UDM `extensions.auth.type` disetel ke `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom log `sourceProperties.properties.loadBalancerName` akan dipetakan ke kolom UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom UDM `intermediary.resource.resource_type` disetel ke `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Jika nilai kolom log `canonicalName` tidak kosong, `finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`. Jika nilai kolom log `canonicalName` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`.
	`metadata.product_name`	Kolom UDM `metadata.product_name` disetel ke `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Kolom UDM `metadata.vendor_name` disetel ke `Google`.
	`network.application_protocol`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom UDM `network.application_protocol` disetel ke `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.indicatorContext.asn` akan dipetakan ke kolom UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.indicatorContext.carrierName` akan dipetakan ke kolom UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.reverseDnsDomain` akan dipetakan ke kolom UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseClass` akan dipetakan ke kolom UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseValue` akan dipetakan ke kolom UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.domainName` akan dipetakan ke kolom UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.ttl` akan dipetakan ke kolom UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseType` akan dipetakan ke kolom UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.authAnswer` akan dipetakan ke kolom UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.queryName` akan dipetakan ke kolom UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.queryType` akan dipetakan ke kolom UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseCode` akan dipetakan ke kolom UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.callerUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, kolom log `sourceProperties.properties.callerUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom UDM `network.ip_protocol` ditetapkan ke salah satu nilai berikut: `ICMP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `1` atau `ICMP`. `IGMP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `2` atau `IGMP`. `TCP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `6` atau `TCP`. `UDP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `17` atau `UDP`. `IP6IN4` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `41` atau `IP6IN4`. `GRE` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `47` atau `GRE`. `ESP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `50` atau `ESP`. `EIGRP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `88` atau `EIGRP`. `ETHERIP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `97` atau `ETHERIP`. `PIM` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `103` atau `PIM`. `VRRP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `112` atau `VRRP`. `UNKNOWN_IP_PROTOCOL` jika nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan nilai lainnya.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.organizationName` akan dipetakan ke kolom UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.behaviorPeriod` akan dipetakan ke kolom UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Active Scan: Log4j Vulnerable to RCE`, kolom log `sourceProperties.properties.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `access.callerIp` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, kolom log `access.callerIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Evasion: Access from Anonymizing Proxy`, kolom log `sourceProperties.properties.changeFromBadIp.ip` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.srcIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, maka jika nilai kolom log `sourceProperties.properties.ipConnection.srcIp` tidak sama dengan `sourceProperties.properties.indicatorContext.ipAddress`, kolom log `sourceProperties.properties.indicatorContext.ipAddress` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.callerIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels.key/value [sourceProperties_properties_scannerDomain]`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Active Scan: Log4j Vulnerable to RCE`, kolom log `sourceProperties.properties.scannerDomain` akan dipetakan ke kolom UDM `principal.labels.key/value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.jobState` akan dipetakan ke kolom UDM `principal.labels.key/value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.countryCode` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.job.location` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.job.location` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.anomalousLocation.anomalousLocation` akan dipetakan ke kolom UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.srcPort` akan dipetakan ke kolom UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.jobLink` akan dipetakan ke kolom UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` akan dipetakan ke kolom UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.job.jobId` akan dipetakan ke kolom UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.srcVpc.subnetworkName` akan dipetakan ke kolom UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.srcVpc.projectId` akan dipetakan ke kolom UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.vpcName` akan dipetakan ke kolom UDM `principal.resource_ancestors.name` dan kolom UDM `principal.resource_ancestors.resource_type` ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `sourceProperties.sourceId.*?customerOrganizationNumber`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Jika nilai kolom log `sourceProperties.properties.projectId` tidak kosong, kolom log `sourceProperties.properties.projectId` akan dipetakan ke kolom UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` akan dipetakan ke kolom UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Jika nilai kolom log `category` sama dengan `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.sourceInstanceDetails` akan dipetakan ke kolom UDM `principal.resource.name`.
	`principal.user.account_type`	Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `serviceAccount`, kolom UDM `principal.user.account_type` akan disetel ke `SERVICE_ACCOUNT_TYPE`. Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `user`, kolom UDM `principal.user.account_type` akan disetel ke `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom UDM `principal.user.attribute.labels.key` ditetapkan ke `rawUserAgent` dan kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` dipetakan ke kolom UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Evasion: Access from Anonymizing Proxy`, kolom log `sourceProperties.properties.changeFromBadIp.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.userEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive` atau `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Impair Defenses: Strong Authentication Disabled` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, maka kolom log `sourceProperties.properties.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`. Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, maka kolom log `sourceProperties.properties.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Persistence: New Geography`, kolom log `access.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.vpcViolation.userEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle`, kolom log `sourceProperties.properties.ssoState` akan dipetakan ke kolom UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.userName` akan dipetakan ke kolom UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.threatIntelligenceSource` akan dipetakan ke kolom UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.sourceIp` akan dipetakan ke kolom UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` akan dipetakan ke kolom UDM `security_result.about.resource.name`. Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.restrictedResources.resourceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` disetel ke `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.allowedServices.serviceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` ditetapkan ke `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.restrictedServices.serviceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` ditetapkan ke `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.accessLevels.policyName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` ditetapkan ke `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?security`, kolom UDM `security_result.about.user.attribute.roles.name` akan disetel ke `security`. Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?technical`, kolom UDM `security_result.about.user.attribute.roles.name` akan disetel ke `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom UDM `security_result.action` disetel ke `BLOCK`. Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka jika nilai kolom log `sourceProperties.properties.attempts.authResult` sama dengan `SUCCESS`, kolom UDM `security_result.action` disetel ke `BLOCK`. Else, kolom UDM `security_result.action` disetel ke `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.restrictedResources.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.restrictedServices.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.allowedServices.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.accessLevels.action` akan dipetakan ke kolom UDM `security_result.action_details`.
	`security_result.alert_state`	Jika nilai kolom log `state` sama dengan `ACTIVE`, kolom UDM `security_result.alert_state` ditetapkan ke `ALERTING`. Atau, kolom UDM `security_result.alert_state` ditetapkan ke `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteInitiator` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteUpdateTimer` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.authResult` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.customer_industry` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.customer_name` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.lasthit` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.myVote` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.support_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_name` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.upVotes` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.downVotes` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Initial Access: Log4j Compromise Attempt` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP` atau `Persistence: IAM Anomalous Grant`, maka kolom UDM `security_result.detection_fields.key` ditetapkan ke `sourceProperties_contextUris_relatedFindingUri_url` dan kolom log `sourceProperties.contextUris.relatedFindingUri.url` dipetakan ke kolom UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` akan dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.contextUris.workspacesUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.workspacesUri.url` dipetakan ke kolom UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` akan dipetakan ke kolom UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.description` akan dipetakan ke kolom UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `HIGH`, kolom UDM `security_result.priority` ditetapkan ke `HIGH_PRIORITY`. Else if, nilai kolom log `sourceProperties.detectionPriority` sama dengan `MEDIUM`, kolom UDM `security_result.priority` ditetapkan ke `MEDIUM_PRIORITY`. Jika tidak, nilai kolom log `sourceProperties.detectionPriority` sama dengan `LOW`, maka kolom UDM `security_result.priority` ditetapkan ke `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Exfiltration`, kolom log `sourceProperties.properties.vpcViolation.violationReason` akan dipetakan ke kolom UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.query` akan dipetakan ke kolom UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `parent` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` akan dipetakan ke kolom UDM `src.resource_ancestors.name` dan kolom UDM `src.resource_ancestors.resource_type` ditetapkan ke `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolder` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.projectNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.organizationNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom UDM `src.resource.attribute.labels.key` ditetapkan ke `grantees` dan kolom log `database.grantees` dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.projectId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.backupId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `src.resource.attribute.labels.key/value` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.sources.name` akan dipetakan ke kolom UDM `src.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` akan dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` ditetapkan ke `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` akan dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` ditetapkan ke `CloudSQL`. Jika tidak, nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, maka kolom log `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` ditetapkan ke `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.sources.name` akan dipetakan ke kolom UDM `src.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.tableId` akan dipetakan ke kolom UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, maka kolom log `access.serviceName` akan dipetakan ke kolom UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.properties.serviceName` akan dipetakan ke kolom UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Jika nilai kolom log `category` sama dengan `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, kolom log `sourceProperties.properties.domainName` akan dipetakan ke kolom UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.domains.0` akan dipetakan ke kolom UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` akan dipetakan ke kolom UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.permissions` akan dipetakan ke kolom UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.destIp` akan dipetakan ke kolom UDM `target.ip`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels.key/value [sourceProperties_properties_methodName]`	Jika nilai kolom log `category` sama dengan `Impair Defenses: Strong Authentication Disabled` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, kolom log `sourceProperties.properties.methodName` akan dipetakan ke kolom UDM `target.labels.value`.
`sourceProperties.properties.network.location`	`target.location.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.network.location` akan dipetakan ke kolom UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.destPort` akan dipetakan ke kolom UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.query` akan dipetakan ke kolom UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Kolom log `containers.labels.name` dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.key` dan kolom log `containers.labels.value` dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.projectId` akan dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.subnetworkName` akan dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.network.subnetworkName` akan dipetakan ke kolom UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.network.subnetworkId` akan dipetakan ke kolom UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`parent`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`containers.name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` adalah `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VPC_NETWORK`. Else if, nilai kolom log `category` sama dengan kolom log `Active Scan: Log4j Vulnerable to RCE` `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpcName` sama dengan `target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `VIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom log `sourceProperties.properties.gceInstanceId` akan dipetakan ke kolom UDM `target.resource_ancestors.product_object_id` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.zone` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.product_object_id`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.product_object_id`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom UDM `target.resource.attribute.labels.key` ditetapkan ke `exportScope` dan kolom log `sourceProperties.properties.exportToGcs.exportScope` dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.objectName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.originalUri` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, kolom log `sourceProperties.properties.metadataKeyOperation` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.targets.components` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketAccess` akan dipetakan ke kolom UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`resourceName`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`exfiltration.targets.name`	`target.resource.name`	Jika kolom log `category`/{1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM {1/2} dipetakan ke kolom UDM {1/2} dan kolom log UDM dipetakan ke kolom`categorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.instanceId` akan dipetakan ke kolom UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource.product_object_id`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.resource_subtype`. Jika tidak, nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, maka kolom UDM `target.resource.resource_subtype` ditetapkan ke `Privileged Group`. Jika tidak, nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, maka kolom UDM `target.resource.resource_subtype` ditetapkan ke `BigQuery`.
	`target.resource.resource_type`	Jika nilai kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionType` dicocokkan dengan ekspresi reguler `BUCKET`, kolom UDM `target.resource.resource_type` disetel ke `STORAGE_BUCKET`. Else if, nilai kolom log `category` sama dengan `Brute Force: SSH`, lalu kolom UDM `target.resource.resource_type` ditetapkan ke `VIRTUAL_MACHINE`. Else if, nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom UDM `target.resource.resource_type` ditetapkan ke `VIRTUAL_MACHINE`. Else if} adalah kolom log {1/2} dengan `category`1.`target.resource.resource_typeExfiltration: BigQuery Data ExfiltrationTABLE`
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `target.url`. Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.gcsUri` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom log `sourceProperties.properties.requestUrl` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.policyLink` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.notSeenInLast` akan dipetakan ke kolom UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.username` akan dipetakan ke kolom UDM `target.user.userid`. Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom log `userid` akan dipetakan ke kolom UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom log `userid` akan dipetakan ke kolom UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels.key/value [Environment_Variables_name]`
	`target.labels.key/value [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Added Binary Executed` atau `Added Library Loaded`, kolom log `sourceProperties.VM_Instance_Name` akan dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike` atau `Application DDoS Attack Attempt`, kolom log `sourceProperties.Backend_Service` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike` atau `Application DDoS Attack Attempt`, kolom UDM `target.resource.resource_type` disetel ke `BACKEND_SERVICE`. Jika nilai kolom log `category` sama dengan `Configurable Bad Domain`, kolom UDM `target.resource.resource_type` disetel ke `VIRTUAL_MACHINE`.
	`is_alert`	Jika nilai kolom log `state` sama dengan `ACTIVE`, maka jika nilai kolom `mute_is_not_present` tidak sama dengan true dan (nilai kolom log `mute` sama dengan `UNMUTED` atau nilai kolom log `mute` sama dengan `UNDEFINED`), maka kolom UDM `is_alert` disetel ke `true` lain, kolom UDM `is_alert` disetel ke `false`.
	`is_significant`	Jika nilai kolom log `state` sama dengan `ACTIVE`, maka jika nilai kolom `mute_is_not_present` tidak sama dengan true dan (nilai kolom log `mute` sama dengan `UNMUTED` atau nilai kolom log `mute` sama dengan `UNDEFINED`), maka kolom UDM `is_significant` disetel ke `true` lain, kolom UDM `is_significant` disetel ke `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : Mengekstrak `user_id` dari kolom log `sourceProperties.properties.sensitiveRoleGrant.principalEmail`, lalu kolom `user_id` dipetakan ke kolom UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : Mengekstrak `user_id` dari kolom log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`, lalu kolom `user_id` dipetakan ke kolom UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, Grok : Diekstrak `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dari kolom log `resourceName`, lalu kolom log `region` akan dipetakan ke kolom UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, Grok : Diekstrak `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dari kolom log `resourceName`, lalu kolom log `asset_prod_obj_id` akan dipetakan ke kolom UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, Grok : Diekstrak `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dari kolom log `resourceName`, lalu kolom log `zone_suffix` akan dipetakan ke kolom UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, Grok : Diekstrak `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dari kolom log `resourceName`, lalu kolom log `project_name` akan dipetakan ke kolom UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, kolom log `sourceProperties.properties.failedActions.methodName` akan dipetakan ke kolom UDM `target.labels`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, kolom log `sourceProperties.properties.failedActions.serviceName` akan dipetakan ke kolom UDM `target.labels`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, kolom log `sourceProperties.properties.failedActions.attemptTimes` akan dipetakan ke kolom UDM `target.labels`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, kolom log `sourceProperties.properties.failedActions.lastOccurredTime` akan dipetakan ke kolom UDM `target.labels`.

Referensi pemetaan kolom: ID peristiwa untuk jenis peristiwa

ID Peristiwa	Jenis Peristiwa	Kategori Keamanan
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EKSPLORASI
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EKSPLORASI
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Tabel berikut berisi jenis peristiwa UDM dan pemetaan kolom UDM untuk Security Command Center - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION menemukan class.

Kategori kerentanan terhadap jenis peristiwa UDM

Tabel berikut mencantumkan kategori Kerentanan dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa	Kategori Keamanan
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EKSPLORASI
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`

Kategori MISCONFIGURATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori MISCONFIGURATION dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Kategori OBSERVATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori OBSERVATION dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa
Persistensi: Kunci SSH Project Ditambahkan	SETTING_MODIFICATION
Persistensi: Menambahkan Peran Sensitif	RESOURCE_PERMISSIONS_CHANGE
Dampak: Instance GPU Dibuat	USER_RESOURCE_CREATION
Dampak: Banyak Instance yang Dibuat	USER_RESOURCE_CREATION

Kategori ERROR pada jenis peristiwa UDM

Tabel berikut mencantumkan kategori ERROR dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Kategori UNSPECIFIED untuk jenis peristiwa UDM

Tabel berikut mencantumkan kategori UNSPECIFIED dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa	Kategori Keamanan
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Kategori POSTURE_VIOLATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori POSTURE_VIOLATION dan jenis peristiwa UDM yang sesuai.

ID Peristiwa	Jenis Peristiwa
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referensi pemetaan kolom: VULNERABILITY

Tabel berikut mencantumkan kolom log dari kategori VULNERABILITY dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM	Logika
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Mengekstrak `region` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	Mengekstrak `asset_prod_obj_id` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	Mengekstrak `zone_suffix` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referensi pemetaan kolom: MISCONFIGURATION

Tabel berikut mencantumkan kolom log dari kategori MISCONFIGURATION dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_KompatibelFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referensi pemetaan kolom: OBSERVATION

Tabel berikut mencantumkan kolom log dari kategori OBSERVATION dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referensi pemetaan bidang: ERROR

Tabel berikut mencantumkan kolom log kategori ERROR dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referensi pemetaan kolom: UNSPECIFIED

Tabel berikut mencantumkan kolom log dari kategori UNSPECIFIED dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referensi pemetaan bidang: POSTURE_VIOLATION

Tabel berikut mencantumkan kolom log kategori POSTURE_VIOLATION dan kolom UDM yang sesuai.

Kolom log	Pemetaan UDM	Logika
`finding.resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `finding.resourceName` tidak kosong, kolom log `finding.resourceName` akan dipetakan ke kolom UDM `target.resource.name`. Kolom `project_name` diekstrak dari kolom log `finding.resourceName` menggunakan pola Grok. Jika nilai kolom `project_name` tidak kosong, kolom `project_name` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `resourceName` tidak kosong, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`. Kolom `project_name` diekstrak dari kolom log `resourceName` menggunakan pola Grok. Jika nilai kolom `project_name` tidak kosong, kolom `project_name` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Jika nilai kolom log `finding.cloudProvider` berisi salah satu nilai berikut, kolom log `finding.cloudProvider` akan dipetakan ke kolom UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Jika nilai kolom log `cloudProvider` berisi salah satu nilai berikut, kolom log `cloudProvider` akan dipetakan ke kolom UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Jika nilai kolom log `resource.cloudProvider` berisi salah satu nilai berikut, kolom log `resource.cloudProvider` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Kolom Umum: security COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

Tabel berikut mencantumkan kolom umum kategori security COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION, dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM	Logika
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `about.labels.value`.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Kolom UDM `target.resource_ancestors.resource_type` disetel ke `CLUSTER`.
	`about.resource.attribute.cloud.environment`	Kolom UDM `about.resource.attribute.cloud.environment` disetel ke `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Jika nilai kolom log `canonicalName` tidak kosong, `finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`. Jika nilai kolom log `canonicalName` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `sourceProperties.sourceId.*?customerOrganizationNumber`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `serviceAccount`, kolom UDM `principal.user.account_type` akan disetel ke `SERVICE_ACCOUNT_TYPE`. Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `user`, kolom UDM `principal.user.account_type` akan disetel ke `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?security`, kolom UDM `security_result.about.user.attribute.roles.name` akan disetel ke `security`. Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?technical`, kolom UDM `security_result.about.user.attribute.roles.name` akan disetel ke `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Jika nilai kolom log `state` sama dengan `ACTIVE`, kolom UDM `security_result.alert_state` ditetapkan ke `ALERTING`. Atau, kolom UDM `security_result.alert_state` ditetapkan ke `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteInitiator` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteUpdateTimer` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Initial Access: Log4j Compromise Attempt` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP` atau `Persistence: IAM Anomalous Grant`, maka kolom UDM `security_result.detection_fields.key` ditetapkan ke `sourceProperties_contextUris_relatedFindingUri_url` dan kolom log `sourceProperties.contextUris.relatedFindingUri.url` dipetakan ke kolom UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` akan dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.contextUris.workspacesUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.workspacesUri.url` dipetakan ke kolom UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `HIGH`, kolom UDM `security_result.priority` ditetapkan ke `HIGH_PRIORITY`. Else if, nilai kolom log `sourceProperties.detectionPriority` sama dengan `MEDIUM`, kolom UDM `security_result.priority` ditetapkan ke `MEDIUM_PRIORITY`. Jika tidak, nilai kolom log `sourceProperties.detectionPriority` sama dengan `LOW`, maka kolom UDM `security_result.priority` ditetapkan ke `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.query` akan dipetakan ke kolom UDM `src.process.command_line`. Jika tidak, kolom log `database.query` akan dipetakan ke kolom UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`. Jika tidak, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.parentName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom UDM `src.resource.attribute.labels.key` ditetapkan ke `grantees` dan kolom log `database.grantees` dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Selain itu, kolom log `resource.displayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Selain itu, kolom log `resource.display_name` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Selain itu, kolom log `resource.displayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Selain itu, kolom log `resource.display_name` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.sources.components` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, maka kolom log `access.serviceName` akan dipetakan ke kolom UDM `target.application`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.zone` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.product_object_id`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.product_object_id`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.targets.components` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Else if, nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource.resource_type` ditetapkan ke `VIRTUAL_MACHINE`. Else if, nilai kolom log `category` sama dengan kolom log/2DM { /2}.`categoryresourceName` `Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RegionCode`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RemoteHost`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `UserAgent`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RequestUriPath`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.compromised_account` akan dipetakan ke kolom UDM `principal.user.userid` dan kolom UDM `principal.user.account_type` ditetapkan ke `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.project_identifier` akan dipetakan ke kolom UDM `principal.resource.product_object_id`
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.private_key_identifier` akan dipetakan ke kolom UDM `principal.user.attribute.labels.value`
`sourceProperties.action_taken`	`principal.labels.key/value [action_taken]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.action_taken` akan dipetakan ke kolom UDM `principal.labels.value`
`sourceProperties.finding_type`	`principal.labels.key/value [finding_type]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.finding_type` akan dipetakan ke kolom UDM `principal.labels.value`
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.url` akan dipetakan ke kolom UDM `principal.user.attribute.labels.value`
`sourceProperties.security_result.summary`	`security_result.summary`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.security_result.summary` akan dipetakan ke kolom UDM `security_result.summary`
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`

Langkah selanjutnya

Penyerapan data ke Chronicle