Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan temuan Security Command Center

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Security Command Center dengan mengonfigurasi Security Command Center dan menyerap temuan ke Google Security Operations. Dokumen ini juga mencantumkan peristiwa yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations dan Mengekspor temuan Security Command Center ke Google Security Operations. Deployment umum terdiri dari Security Command Center dan feed Google Security Operations yang dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

Google Cloud: Sistem yang akan dipantau tempat Security Command Center diinstal.
Temuan Deteksi Ancaman Peristiwa Security Command Center: Mengumpulkan informasi dari sumber data dan membuat temuan.
Google Security Operations: Mempertahankan dan menganalisis log dari Security Command Center.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser Security Command Center dengan label penyerapan berikut:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Mengonfigurasi Security Command Center dan Google Cloud untuk mengirimkan temuan ke Google Security Operations

Aktifkan Security Command Center.
Pastikan semua sistem dalam deployment dikonfigurasi dalam zona waktu UTC.
Aktifkan penyerapan temuan Security Command Center.

Temuan Event Threat Detection yang didukung

Bagian ini mencantumkan temuan Event Threat Detection yang didukung. Untuk mengetahui informasi tentang aturan dan temuan Event Threat Detection Security Command Center, lihat Aturan Event Threat Detection.

Nama temuan	Deskripsi
Pemindaian Aktif: Log4j Rentan terhadap RCE	Mendeteksi kerentanan Log4j aktif dengan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate yang dimulai oleh pemindai kerentanan Log4j yang didukung.
Brute Force: SSH	Deteksi brute force SSH yang berhasil pada host.
Akses Kredensial: Anggota Eksternal Ditambahkan ke Grup Istimewa	Mendeteksi saat anggota eksternal ditambahkan ke Grup Google yang memiliki hak istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dibuat jika grup belum berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan tidak aman pada Google Grup.
Akses Kredensial: Grup dengan Hak Istimewa Dibuka untuk Publik	Mendeteksi saat Grup Google yang memiliki hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan tidak aman pada Google Grup.
Akses Kredensial: Peran Sensitif Diberikan Kepada Grup Hybrid	Mendeteksi saat peran sensitif diberikan ke Grup Google dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan tidak aman pada Google Grup.
Penghindaran Pertahanan: Mengubah Kontrol Layanan VPC	Mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang ada yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut.
Penemuan: Dapat memperoleh pratinjau pemeriksaan objek Kubernetes sensitif checkPreview	Aktor berbahaya mencoba menentukan objek sensitif di Google Kubernetes Engine (GKE) yang dapat mereka kueri, dengan menggunakan perintah kubectl auth can-i get.
Penemuan: Investigasi Mandiri Akun Layanan	Deteksi kredensial akun layanan Identity and Access Management (IAM) yang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Penghindaran: Akses dari Anonymizing Proxy	Deteksi modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery	Mendeteksi skenario berikut: Resource milik organisasi yang dilindungi yang disimpan di luar organisasi, termasuk operasi penyalinan atau transfer. Upaya untuk mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.
Pemindahan Tidak Sah: Ekstraksi Data BigQuery	Mendeteksi skenario berikut: Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage di luar organisasi. Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi tersebut.
Pemindahan Tidak Sah: Data BigQuery ke Google Drive	Mendeteksi skenario berikut: Resource BigQuery yang dimiliki oleh organisasi terlindungi disimpan, melalui operasi ekstraksi, ke folder Google Drive.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data Cloud SQL	Mendeteksi skenario berikut: Data instance aktif diekspor ke bucket Cloud Storage di luar organisasi. Data instance aktif diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.
Eksfiltrasi: Pemulihan Cadangan Cloud SQL ke Organisasi Eksternal	Mendeteksi saat cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi.
Pemindahan Tidak Sah: Pemberian Hak Istimewa Berlebih SQL Cloud SQL	Mendeteksi saat pengguna atau peran Cloud SQL Postgres telah diberi semua hak istimewa ke database atau ke semua tabel, prosedur, atau fungsi dalam skema.
Mengurangi Pertahanan: Autentikasi Kuat Dinonaktifkan	Verifikasi 2 langkah dinonaktifkan untuk organisasi.
Melemahkan Pertahanan: Verifikasi Dua Langkah Dinonaktifkan	Pengguna menonaktifkan verifikasi 2 langkah.
Akses Awal: Akun yang Dinonaktifkan karena Dibajak	Akun pengguna ditangguhkan karena aktivitas mencurigakan.
Akses Awal: Kebocoran Sandi yang Dinonaktifkan	Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi.
Akses Awal: Serangan yang Didukung Pemerintah	Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna.
Akses Awal: Upaya Pembobolan Log4j	Mendeteksi pencarian Java Naming and Directory Interface (JNDI) dalam header atau parameter URL. Pencarian ini dapat menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya menunjukkan upaya deteksi atau eksploitasi, bukan kerentanan atau pembobolan.
Akses Awal: Login Mencurigakan Diblokir	Login mencurigakan ke akun pengguna telah terdeteksi dan diblokir.
Malware Log4j: Domain Buruk	Deteksi traffic eksploitasi Log4j berdasarkan koneksi ke, atau pencarian, domain yang diketahui digunakan dalam serangan Log4j.
Malware Log4j: IP Buruk	Deteksi traffic eksploitasi Log4j berdasarkan koneksi ke alamat IP yang diketahui yang digunakan dalam serangan Log4j.
Malware: Domain Buruk	Deteksi malware berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui.
Malware: IP Buruk	Deteksi malware berdasarkan koneksi ke alamat IP jahat yang diketahui.
Malware: Domain Buruk Cryptomining	Deteksi penambangan kripto berdasarkan koneksi ke, atau pencarian, domain penambangan mata uang kripto yang diketahui.
Malware: IP Buruk Cryptomining	Deteksi penambangan mata uang kripto berdasarkan koneksi ke alamat IP penambangan yang diketahui.
DoS keluar	Deteksi traffic denial of service keluar.
Persistensi: Admin Compute Engine Menambahkan Kunci SSH	Deteksi modifikasi pada nilai kunci SSH metadata instance Compute Engine pada instance yang sudah dibuat (lebih dari 1 minggu).
Persistensi: Admin Compute Engine Menambahkan Skrip Startup	Deteksi modifikasi pada nilai skrip startup metadata instance Compute Engine pada instance yang sudah dibuat (lebih dari 1 minggu).
Persistensi: Pemberian IAM Tidak Wajar	Deteksi hak istimewa yang diberikan kepada pengguna IAM dan akun layanan yang bukan anggota organisasi. Detektor ini menggunakan kebijakan IAM organisasi yang ada sebagai konteks. Jika pemberian IAM sensitif kepada anggota eksternal terjadi, dan ada kurang dari tiga kebijakan IAM yang ada yang serupa dengannya, detektor ini akan menghasilkan temuan.
Persistensi: Metode API BaruPreview	Deteksi penggunaan layanan Google Cloud yang tidak normal oleh akun layanan IAM.
Persistensi: Geografi Baru	Deteksi akun pengguna dan akun layanan IAM yang mengakses Google Cloud dari lokasi yang tidak biasa, berdasarkan geolokasi alamat IP yang membuat permintaan.
Persistensi: Agen Pengguna Baru	Deteksi akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak normal atau mencurigakan.
Persistensi: Tombol Pengaktifan SSO	Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan.
Persistensi: Setelan SSO Diubah	Setelan SSO untuk akun admin telah diubah.
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitifPratinjau	Untuk meningkatkan hak istimewa, aktor berbahaya mencoba mengubah objek ClusterRole dan ClusterRoleBinding cluster-admin menggunakan permintaan PUT atau PATCH.
Peningkatan Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat masterPratinjau	Aktor yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberi mereka akses cluster-admin.
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitifPratinjau	Pihak berniat jahat mencoba membuat objek RoleBinding atau ClusterRoleBinding cluster-admin baru untuk meningkatkan hak istimewanya.
Peningkatan Hak Istimewa: Mendapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupiPreview	Pelaku berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
Eskalasi Hak Istimewa: Peluncuran pratinjau container Kubernetes dengan hak istimewa	Aktor berbahaya membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa. Container dengan hak istimewa memiliki kolom hak istimewa yang ditetapkan ke benar (true). Container dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang disetel ke benar (true).
Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat	Mendeteksi peristiwa saat kunci dibuat untuk akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika telah tidak aktif selama lebih dari 180 hari.
Hierarki Proses	Detektor memeriksa hierarki proses dari semua proses yang sedang berjalan. Jika suatu proses adalah biner shell, detektor akan memeriksa proses induknya. Jika proses induk adalah biner yang tidak boleh memunculkan proses shell, detektor akan memicu temuan.
Shell Turunan yang Tidak Terduga	Detektor memeriksa hierarki proses dari semua proses yang sedang berjalan. Jika suatu proses adalah biner shell, detektor akan memeriksa proses induknya. Jika proses induk adalah biner yang tidak boleh memunculkan proses shell, detektor akan memicu temuan.
Eksekusi: Program Biner Berbahaya yang Ditambahkan Dieksekusi	Detektor mencari biner yang sedang dieksekusi yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan analisis ancaman.
Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi	Detektor mencari biner yang sedang dieksekusi yang awalnya disertakan dalam image container, tetapi dimodifikasi selama waktu proses, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman.
Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin	Mendeteksi saat permintaan yang didelegasikan multi-langkah yang anomali ditemukan untuk aktivitas administratif.
Akun Akses Darurat yang Digunakan: break_glass_account	Mendeteksi penggunaan akun akses darurat (breakglass)
Domain Buruk yang Dapat Dikonfigurasi: APT29_Domains	Mendeteksi koneksi ke nama domain tertentu
Pemberian Peran yang Tidak Terduga: Peran yang dilarang	Mendeteksi saat peran tertentu diberikan kepada pengguna
IP Buruk yang Dapat Dikonfigurasi	Mendeteksi koneksi ke alamat IP tertentu
Jenis instance Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan.
Image sumber Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine dengan image atau kelompok image yang tidak cocok dengan daftar yang ditentukan
Region Compute Engine yang tidak terduga	Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan.
Peran khusus dengan izin yang dilarang	Mendeteksi saat peran kustom dengan salah satu izin IAM yang ditentukan diberikan kepada akun utama.
Panggilan Cloud API yang Tidak Terduga	Mendeteksi saat prinsipal tertentu memanggil metode tertentu terhadap resource tertentu. Temuan hanya dibuat jika semua ekspresi reguler cocok dalam satu entri log.

Temuan GCP_SECURITYCENTER_ERROR yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: ERROR.

Nama temuan	Deskripsi
VPC_SC_RESTRICTION	Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk suatu project. Project dilindungi oleh perimeter layanan, dan akun layanan Security Command Center tidak memiliki akses ke perimeter.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Security Command Center tidak dapat mengirim temuan ke Logging.
API_DISABLED	API yang diperlukan dinonaktifkan untuk project. Layanan yang dinonaktifkan tidak dapat mengirimkan temuan ke Security Command Center.
KTD_IMAGE_PULL_FAILURE	Deteksi Ancaman Kontainer tidak dapat diaktifkan di cluster karena image container yang diperlukan tidak dapat ditarik (didownload) dari gcr.io, host image Container Registry. Image ini diperlukan untuk men-deploy DaemonSet Container Threat Detection yang diperlukan oleh Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection tidak dapat diaktifkan di cluster Kubernetes. Pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan oleh Container Threat Detection. Saat dilihat di konsol Google Cloud , detail temuan mencakup pesan error yang ditampilkan oleh Google Kubernetes Engine saat Container Threat Detection mencoba men-deploy Objek DaemonSet Container Threat Detection.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Akun layanan tidak memiliki izin yang diperlukan oleh Deteksi Ancaman Kontainer. Deteksi Ancaman Container dapat berhenti berfungsi dengan baik karena instrumentasi deteksi tidak dapat diaktifkan, diupgrade, atau dinonaktifkan.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection tidak dapat membuat temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tidak memiliki izin. Hal ini mencegah Container Threat Detection diaktifkan dengan berhasil di cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Akun layanan Security Command Center tidak memiliki izin yang diperlukan agar dapat berfungsi dengan baik. Tidak ada temuan yang dihasilkan.

Temuan GCP_SECURITYCENTER_OBSERVATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: OBSERVATION.

Nama temuan	Deskripsi
Persistensi: Kunci SSH Project Ditambahkan	Kunci SSH tingkat project dibuat di project, untuk project yang sudah berusia lebih dari 10 hari.
Persistensi: Menambahkan Peran Sensitif	Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan di organisasi yang sudah berusia lebih dari 10 hari.

Temuan GCP_SECURITYCENTER_UNSPECIFIED yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: UNSPECIFIED.

Nama temuan	Deskripsi
OPEN_FIREWALL	Firewall dikonfigurasi agar terbuka untuk akses publik.

Temuan GCP_SECURITYCENTER_VULNERABILITY yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: VULNERABILITAS.

Nama temuan	Deskripsi
DISK_CSEK_DISABLED	Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Detektor kasus khusus.
ALPHA_CLUSTER_ENABLED	Fitur cluster alfa diaktifkan untuk cluster GKE.
AUTO_REPAIR_DISABLED	Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan berjalan dengan baik, dinonaktifkan.
AUTO_UPGRADE_DISABLED	Fitur upgrade otomatis cluster GKE, yang menjaga cluster dan node pool tetap menggunakan Kubernetes versi stabil terbaru, dinonaktifkan.
CLUSTER_SHIELDED_NODES_DISABLED	Node GKE yang Terlindungi tidak diaktifkan untuk cluster
COS_NOT_USED	VM Compute Engine tidak menggunakan Container-Optimized OS yang didesain untuk menjalankan container Docker secara Google Cloud aman.
INTEGRITY_MONITORING_DISABLED	Pemantauan integritas dinonaktifkan untuk cluster GKE.
IP_ALIAS_DISABLED	Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.
LEGACY_METADATA_ENABLED	Metadata lama diaktifkan di cluster GKE.
RELEASE_CHANNEL_DISABLED	Cluster GKE tidak berlangganan ke saluran rilis.
DATAPROC_IMAGE_OUTDATED	Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).
PUBLIC_DATASET	Set data dikonfigurasi agar terbuka untuk akses publik.
DNSSEC_DISABLED	DNSSEC dinonaktifkan untuk zona Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Peran IAM Redis ditetapkan di tingkat organisasi atau folder.
KMS_PUBLIC_KEY	Kunci kriptografis Cloud KMS dapat diakses secara publik.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Flag database contained database authentication untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Flag database cross_db_ownership_chaining untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_EXTERNAL_SCRIPTS_ENABLED	Flag database external scripts enabled untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_LOCAL_INFILE	Flag database local_infile untuk instance Cloud SQL for MySQL tidak disetel ke nonaktif.
SQL_LOG_ERROR_VERBOSITY	Flag database log_error_verbosity untuk instance Cloud SQL for PostgreSQL tidak disetel ke default atau lebih ketat.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Flag database log_min_duration_statement untuk instance Cloud SQL for PostgreSQL tidak disetel ke "-1".
SQL_LOG_MIN_ERROR_STATEMENT	Flag database log_min_error_statement untuk instance Cloud SQL for PostgreSQL tidak disetel dengan tepat.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Flag database log_min_error_statement untuk instance Cloud SQL for PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
SQL_LOG_MIN_MESSAGES	Flag database log_min_messages untuk instance Cloud SQL for PostgreSQL tidak disetel ke peringatan.
SQL_LOG_EXECUTOR_STATS_ENABLED	Flag database log_executor_status untuk instance Cloud SQL for PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_HOSTNAME_ENABLED	Flag database log_hostname untuk instance Cloud SQL for PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_PARSER_STATS_ENABLED	Flag database log_parser_stats untuk instance Cloud SQL for PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_PLANNER_STATS_ENABLED	Flag database log_planner_stats untuk instance Cloud SQL for PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_STATEMENT_STATS_ENABLED	Flag database log_statement_stats untuk instance Cloud SQL for PostgreSQL tidak disetel ke nonaktif.
SQL_LOG_TEMP_FILES	Flag database log_temp_files untuk instance Cloud SQL for PostgreSQL tidak disetel ke "0".
SQL_REMOTE_ACCESS_ENABLED	Flag database remote access untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_SKIP_SHOW_DATABASE_DISABLED	Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak disetel ke aktif.
SQL_TRACE_FLAG_3625	Flag database 3625 (trace flag) untuk instance Cloud SQL untuk SQL Server tidak disetel ke aktif.
SQL_USER_CONNECTIONS_CONFIGURED	Flag database user connections untuk instance Cloud SQL untuk SQL Server dikonfigurasi.
SQL_USER_OPTIONS_CONFIGURED	Flag database user options untuk instance Cloud SQL untuk SQL Server dikonfigurasi.
SQL_WEAK_ROOT_PASSWORD	Database Cloud SQL memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
PUBLIC_LOG_BUCKET	Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik.
ACCESSIBLE_GIT_REPOSITORY	Repositori Git diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT.
ACCESSIBLE_SVN_REPOSITORY	Repositori SVN diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN.
ACCESSIBLE_ENV_FILE	File ENV diekspos secara publik. Untuk menyelesaikan temuan ini, hapus akses publik yang tidak disengaja ke file ENV.
CACHEABLE_PASSWORD_INPUT	Sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler, bukan di penyimpanan sandi yang aman.
CLEAR_TEXT_PASSWORD	Sandi dikirimkan dalam teks biasa dan dapat dicegat. Untuk mengatasi temuan ini, enkripsi sandi yang ditransmisikan melalui jaringan.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain root yang diharapkan adalah bagian dari nilai header Origin sebelum menampilkannya di header respons Access-Control-Allow-Origin. Untuk karakter pengganti subdomain, tambahkan titik ke domain root—misalnya, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan cocok sepenuhnya dengan nilai header Origin sebelum menampilkannya di header respons Access-Control-Allow-Origin—misalnya, .equals("".google.com"").
INVALID_CONTENT_TYPE	Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP X-Content-Type-Options dengan nilai yang benar.
INVALID_HEADER	Header keamanan memiliki error sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.
MISMATCHING_SECURITY_HEADER_VALUES	Header keamanan memiliki nilai yang diduplikasi dan tidak cocok, yang menyebabkan perilaku tidak terdefinisi. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.
MISSPELLED_SECURITY_HEADER_NAME	Header keamanan salah dieja dan diabaikan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.
MIXED_CONTENT	Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk menyelesaikan temuan ini, pastikan semua resource ditayangkan melalui HTTPS.
OUTDATED_LIBRARY	Terdeteksi library yang memiliki kerentanan umum. Untuk menyelesaikan temuan ini, upgrade library ke versi yang lebih baru.
SERVER_SIDE_REQUEST_FORGERY	Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat digunakan aplikasi web untuk membuat permintaan.
SESSION_ID_LEAK	Saat membuat permintaan lintas domain, aplikasi web menyertakan ID sesi pengguna di header permintaan Referer-nya. Kerentanan ini memberikan akses domain penerima ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.
SQL_INJECTION	Kerentanan injeksi SQL potensial terdeteksi. Untuk menyelesaikan temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL.
STRUTS_INSECURE_DESERIALIZATION	Penggunaan Apache Struts versi rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Struts ke versi terbaru.
XSS	Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.
XSS_ANGULAR_CALLBACK	String yang disediakan pengguna tidak di-escape dan AngularJS dapat menginterpolasinya. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya dari pengguna yang ditangani oleh framework Angular.
XSS_ERROR	Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.
XXE_REFLECTED_FILE_LEAKAGE	Kerentanan XML External Entity (XXE) terdeteksi. Kerentanan ini dapat menyebabkan aplikasi web membocorkan file di host. Untuk mengatasi temuan ini, konfigurasi parser XML Anda agar tidak mengizinkan entitas eksternal.
BASIC_AUTHENTICATION_ENABLED	IAM atau autentikasi sertifikat klien harus diaktifkan di Cluster Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Cluster Kubernetes harus dibuat dengan Sertifikat Klien aktif.
LABELS_NOT_USED	Label dapat digunakan untuk mengelompokkan informasi penagihan.
PUBLIC_STORAGE_OBJECT	ACL objek penyimpanan tidak boleh memberikan akses ke allUsers.
SQL_BROAD_ROOT_LOGIN	Akses root ke database SQL harus dibatasi ke IP tepercaya tercantum yang diizinkan.
WEAK_CREDENTIALS	Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack. Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan menjalankan skrip, serta menambahkan dokumen tambahan ke layanan.
EXPOSED_GRAFANA_ENDPOINT	Di Grafana 8.0.0 hingga 8.3.0, pengguna dapat mengakses tanpa autentikasi endpoint yang memiliki kerentanan traversal direktori yang memungkinkan pengguna mana pun membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798.
EXPOSED_METABASE	Metabase versi x.40.0 hingga x.40.4, platform analisis data open source, berisi kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Detektor ini memeriksa apakah endpoint Actuator sensitif aplikasi Spring Boot diekspos. Beberapa endpoint default, seperti /heapdump, dapat mengekspos informasi sensitif. Endpoint lain, seperti /env, dapat menyebabkan eksekusi kode jarak jauh. Saat ini, hanya /heapdump yang diperiksa.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Detektor ini memeriksa apakah Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, diekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Remote Method Invocation yang tidak dilindungi memungkinkan pengguna jarak jauh membuat MBean javax.management.loading.MLet dan menggunakannya untuk membuat MBean baru dari URL arbitrer.
JUPYTER_NOTEBOOK_EXPOSED_UI	Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi diekspos. Jupyter memungkinkan eksekusi kode jarak jauh berdasarkan desain di mesin host. Jupyter Notebook yang tidak diautentikasi menempatkan VM hosting pada risiko eksekusi kode jarak jauh.
KUBERNETES_API_EXPOSED	Kubernetes API diekspos, dan dapat diakses oleh pemanggil yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Detektor ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan WordPress yang belum selesai mengekspos halaman /wp-admin/install.php, yang memungkinkan penyerang menyetel sandi admin dan, mungkin, membahayakan sistem.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Detektor ini memeriksa instance Jenkins yang tidak diautentikasi dengan mengirimkan ping probe ke endpoint /view/all/newJob sebagai pengunjung anonim. Instance Jenkins yang diautentikasi menampilkan formulir createItem, yang memungkinkan pembuatan tugas arbitrer yang dapat menyebabkan eksekusi kode jarak jauh.
APACHE_HTTPD_RCE	Kerentanan ditemukan di Apache HTTP Server 2.4.49 yang memungkinkan penyerang menggunakan serangan traversal jalur untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang diinterpretasikan, seperti skrip CGI. Masalah ini diketahui telah dieksploitasi di ranah publik. Masalah ini memengaruhi Apache 2.4.49 dan 2.4.50, tetapi tidak memengaruhi versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Entri CVE CVE-2021-41773 Kerentanan Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Penyerang dapat membuat URI ke server web Apache yang menyebabkan mod_proxy meneruskan permintaan ke server asal yang dipilih oleh penyerang. Masalah ini memengaruhi server HTTP Apache 2.4.48 dan yang lebih lama. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Entri CVE CVE-2021-40438 Kerentanan Apache HTTP Server 2.4
CONSUL_RCE	Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan -enable-script-checks yang disetel ke benar (true) dan Consul HTTP API tidak diamankan serta dapat diakses melalui jaringan. Di Consul 0.9.0 dan yang lebih lama, pemeriksaan skrip diaktifkan secara default. Untuk mengetahui informasi selengkapnya, lihat Melindungi Consul dari Risiko RCE dalam Konfigurasi Tertentu. Untuk memeriksa kerentanan ini, Deteksi Cepat Kerentanan mendaftarkan layanan di instance Consul menggunakan endpoint REST /v1/health/service, yang kemudian menjalankan salah satu dari berikut ini: * Perintah curl ke server jarak jauh di luar jaringan. Penyerang dapat menggunakan perintah curl untuk mengeksfiltrasi data dari server. * Perintah printf. Deteksi Kerentanan Cepat kemudian memverifikasi output perintah menggunakan endpoint REST /v1/health/service. * Setelah pemeriksaan, Deteksi Kerentanan Cepat membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST /v1/agent/service/deregister/.
DRUID_RCE	Apache Druid mencakup kemampuan untuk menjalankan kode JavaScript yang disediakan pengguna dan disematkan dalam berbagai jenis permintaan. Fungsi ini ditujukan untuk digunakan di lingkungan dengan tingkat kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan yang lebih lama, pengguna yang diautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid untuk menjalankan kode JavaScript yang disediakan pengguna untuk permintaan tersebut, terlepas dari konfigurasi server. Hal ini dapat dimanfaatkan untuk mengeksekusi kode di mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646.
DRUPAL_RCE	Versi Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6, dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX Form API. Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10 rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan permintaan POST kustom.
FLINK_FILE_DISCLOSURE	Kerentanan pada Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca file apa pun di sistem file lokal JobManager melalui antarmuka REST proses JobManager. Akses dibatasi ke file yang dapat diakses oleh proses JobManager.
GITLAB_RCE	Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh.
GoCD_RCE	Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan traversal direktori yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi.
JENKINS_RCE	Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java berserialisasi berbahaya.
JOOMLA_RCE	Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header yang dibuat secara khusus yang berisi objek PHP yang diserialisasi. Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan mengirim permintaan POST yang berisi objek PHP berserialisasi yang dibuat khusus.
LOG4J_RCE	Di Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak memberikan perlindungan terhadap LDAP yang dikontrol penyerang dan endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT hingga versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin yang tidak diautentikasi dengan memberikan nilai confirm_hash kosong ke verify.php.
OGNL_RCE	Instance Confluence Server dan Data Center berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084.
OPENAM_RCE	Server OpenAM 14.6.2 dan yang lebih lama serta server ForgeRock AM 6.5.3 dan yang lebih lama memiliki kerentanan deserialisasi Java dalam parameter jato.pageSession di beberapa halaman. Eksploitasi tidak memerlukan autentikasi, dan eksekusi kode jarak jauh dapat dipicu dengan mengirimkan satu permintaan /ccversion/* yang dibuat khusus ke server. Kerentanan ini ada karena penggunaan Aplikasi Sun ONE. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Versi tertentu produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Konsol) berisi kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP membahayakan Oracle WebLogic Server. Serangan yang berhasil terhadap kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882.
PHPUNIT_RCE	Versi PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan satu permintaan POST yang tidak diautentikasi.
PHP_CGI_RCE	PHP versi sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan tidak menangani string kueri yang tidak memiliki karakter = (tanda sama dengan) dengan benar. Hal ini memungkinkan penyerang menambahkan opsi command line yang dieksekusi di server.
PORTAL_RCE	Deserialisasi data yang tidak tepercaya di Liferay Portal versi sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui layanan web JSON.
REDIS_RCE	Jika instance Redis tidak memerlukan autentikasi untuk menjalankan perintah admin, penyerang mungkin dapat menjalankan kode arbitrer.
SOLR_FILE_EXPOSED	Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat membuat permintaan secara langsung untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya menerapkan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer.
SOLR_RCE	Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap eksekusi kode jarak jauh melalui VelocityResponseWriter jika params.resource.loader.enabled disetel ke benar (true). Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity berbahaya.
STRUTS_RCE	Versi Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi dengan memberikan header Content-Type yang dibuat khusus. Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat dengan cermat. Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan terhadap eksekusi kode jarak jauh jika alwaysSelectFullNamespace disetel ke benar (true) dan konfigurasi tindakan tertentu lainnya ada.
TOMCAT_FILE_DISCLOSURE	Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum 7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi melalui konektor Apache JServ Protocol yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk melakukan eksekusi kode jarak jauh jika upload file diizinkan.
VBULLETIN_RCE	Server vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan routestring.
VCENTER_RCE	VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l, dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages yang dibuat khusus ke direktori yang dapat diakses web, lalu memicu eksekusi file tersebut.
WEBLOGIC_RCE	Versi tertentu produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Konsol) berisi kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883.
OS_VULNERABILITY	VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang diinstal untuk VM Compute Engine.
UNUSED_IAM_ROLE	Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan.

Temuan GCP_SECURITYCENTER_MISCONFIGURATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: KONFIGURASI YANG SALAH.

Nama temuan	Deskripsi
API_KEY_APIS_UNRESTRICTED	Ada kunci API yang digunakan terlalu luas. Untuk mengatasi hal ini, batasi penggunaan kunci API agar hanya API yang diperlukan oleh aplikasi yang diizinkan.
API_KEY_APPS_UNRESTRICTED	Ada kunci API yang digunakan tanpa batasan, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya
API_KEY_EXISTS	Project menggunakan kunci API, bukan autentikasi standar.
API_KEY_NOT_ROTATED	Kunci API belum dirotasi selama lebih dari 90 hari
PUBLIC_COMPUTE_IMAGE	Image Compute Engine dapat diakses secara publik.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing dinonaktifkan di instance Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Kunci SSH di seluruh project digunakan, sehingga memungkinkan login ke semua instance dalam project.
COMPUTE_SECURE_BOOT_DISABLED	Shielded VM ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman tingkat lanjut seperti rootkit dan bootkit.
DEFAULT_SERVICE_ACCOUNT_USED	Instance dikonfigurasi untuk menggunakan akun layanan default.
FULL_API_ACCESS	Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.
OS_LOGIN_DISABLED	Login OS dinonaktifkan di instance ini.
PUBLIC_IP_ADDRESS	Instance memiliki alamat IP publik.
SHIELDED_VM_DISABLED	Shielded VM dinonaktifkan pada instance ini.
COMPUTE_SERIAL_PORTS_ENABLED	Port serial diaktifkan untuk instance, sehingga memungkinkan koneksi ke konsol serial instance.
DISK_CMEK_DISABLED	Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
HTTP_LOAD_BALANCER	Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.
IP_FORWARDING_ENABLED	Penerusan IP diaktifkan pada instance.
WEAK_SSL_POLICY	Instance memiliki kebijakan SSL yang lemah.
BINARY_AUTHORIZATION_DISABLED	Otorisasi Biner dinonaktifkan di cluster GKE.
CLUSTER_LOGGING_DISABLED	Logging tidak diaktifkan untuk cluster GKE.
CLUSTER_MONITORING_DISABLED	Pemantauan dinonaktifkan di cluster GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Enkripsi secret lapisan aplikasi dinonaktifkan pada cluster GKE.
INTRANODE_VISIBILITY_DISABLED	Visibilitas intranode dinonaktifkan untuk cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE.
NETWORK_POLICY_DISABLED	Kebijakan jaringan dinonaktifkan di cluster GKE.
NODEPOOL_SECURE_BOOT_DISABLED	Booting Aman dinonaktifkan untuk cluster GKE.
OVER_PRIVILEGED_ACCOUNT	Akun layanan memiliki akses project yang terlalu luas dalam cluster.
OVER_PRIVILEGED_SCOPES	Akun layanan node memiliki cakupan akses yang luas.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy dinonaktifkan di cluster GKE.
PRIVATE_CLUSTER_DISABLED	Cluster GKE memiliki Cluster pribadi dinonaktifkan.
WORKLOAD_IDENTITY_DISABLED	Cluster GKE tidak berlangganan ke saluran rilis.
LEGACY_AUTHORIZATION_ENABLED	Otorisasi Lama diaktifkan di cluster GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Boot disk di node pool ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
WEB_UI_ENABLED	UI web (dasbor) GKE diaktifkan.
AUTO_REPAIR_DISABLED	Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan berjalan dengan baik, dinonaktifkan.
AUTO_UPGRADE_DISABLED	Fitur upgrade otomatis cluster GKE, yang menjaga cluster dan node pool tetap menggunakan Kubernetes versi stabil terbaru, dinonaktifkan.
CLUSTER_SHIELDED_NODES_DISABLED	Node GKE yang Terlindungi tidak diaktifkan untuk cluster
RELEASE_CHANNEL_DISABLED	Cluster GKE tidak berlangganan ke saluran rilis.
BIGQUERY_TABLE_CMEK_DISABLED	Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan.
DATASET_CMEK_DISABLED	Set data BigQuery tidak dikonfigurasi untuk menggunakan CMEK default. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan.
EGRESS_DENY_RULE_NOT_SET	Aturan penolakan keluar tidak ditetapkan di firewall. Aturan penolakan egress harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan.
FIREWALL_RULE_LOGGING_DISABLED	Logging aturan firewall dinonaktifkan. Logging aturan firewall sebaiknya diaktifkan agar Anda dapat mengaudit akses jaringan.
OPEN_CASSANDRA_PORT	Firewall dikonfigurasi untuk memiliki port Cassandra terbuka yang memungkinkan akses umum.
OPEN_SMTP_PORT	Firewall dikonfigurasi agar memiliki port SMTP terbuka yang memungkinkan akses umum.
OPEN_REDIS_PORT	Firewall dikonfigurasi untuk memiliki port REDIS terbuka yang memungkinkan akses umum.
OPEN_POSTGRESQL_PORT	Firewall dikonfigurasi agar memiliki port PostgreSQL terbuka yang memungkinkan akses umum.
OPEN_POP3_PORT	Firewall dikonfigurasi untuk memiliki port POP3 terbuka yang memungkinkan akses umum.
OPEN_ORACLEDB_PORT	Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum.
OPEN_NETBIOS_PORT	Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum.
OPEN_MYSQL_PORT	Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang memungkinkan akses umum.
OPEN_MONGODB_PORT	Firewall dikonfigurasi untuk memiliki port MONGODB terbuka yang memungkinkan akses umum.
OPEN_MEMCACHED_PORT	Firewall dikonfigurasi agar memiliki port MEMCACHED terbuka yang memungkinkan akses umum.
OPEN_LDAP_PORT	Firewall dikonfigurasi untuk memiliki port LDAP terbuka yang memungkinkan akses umum.
OPEN_FTP_PORT	Firewall dikonfigurasi untuk memiliki port FTP terbuka yang memungkinkan akses umum.
OPEN_ELASTICSEARCH_PORT	Firewall dikonfigurasi agar memiliki port ELASTICSEARCH terbuka yang memungkinkan akses umum.
OPEN_DNS_PORT	Firewall dikonfigurasi untuk memiliki port DNS terbuka yang memungkinkan akses umum.
OPEN_HTTP_PORT	Firewall dikonfigurasi untuk memiliki port HTTP terbuka yang memungkinkan akses umum.
OPEN_DIRECTORY_SERVICES_PORT	Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang memungkinkan akses umum.
OPEN_CISCOSECURE_WEBSM_PORT	Firewall dikonfigurasi untuk memiliki port CISCOSECURE_WEBSM terbuka yang memungkinkan akses umum.
OPEN_RDP_PORT	Firewall dikonfigurasi untuk memiliki port RDP terbuka yang memungkinkan akses umum.
OPEN_TELNET_PORT	Firewall dikonfigurasi untuk memiliki port TELNET terbuka yang memungkinkan akses umum.
OPEN_FIREWALL	Firewall dikonfigurasi agar terbuka untuk akses publik.
OPEN_SSH_PORT	Firewall dikonfigurasi agar memiliki port SSH terbuka yang memungkinkan akses umum.
SERVICE_ACCOUNT_ROLE_SEPARATION	Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas".
NON_ORG_IAM_MEMBER	Ada pengguna yang tidak menggunakan kredensial organisasi. Berdasarkan CIS Google Cloud Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Pengguna memiliki peran Pengguna Akun Layanan atau Pembuat Token Akun Layanan di tingkat project, bukan untuk akun layanan tertentu.
ADMIN_SERVICE_ACCOUNT	Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Kunci akun layanan belum dirotasi selama lebih dari 90 hari.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Pengguna mengelola kunci akun layanan.
PRIMITIVE_ROLES_USED	Pengguna memiliki peran dasar, Pemilik, Penulis, atau Pembaca. Peran ini terlalu permisif dan tidak boleh digunakan.
KMS_ROLE_SEPARATION	Pembagian tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter.
OPEN_GROUP_IAM_MEMBER	Akun Google Grup yang dapat diikuti tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM.
KMS_KEY_NOT_ROTATED	Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari.
KMS_PROJECT_HAS_OWNER	Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis.
TOO_MANY_KMS_USERS	Ada lebih dari tiga pengguna kunci kriptografis.
OBJECT_VERSIONING_DISABLED	Pembuatan versi objek tidak diaktifkan pada bucket penyimpanan tempat sink dikonfigurasi.
LOCKED_RETENTION_POLICY_NOT_SET	Kebijakan retensi terkunci tidak disetel untuk log.
BUCKET_LOGGING_DISABLED	Ada bucket penyimpanan yang tidak mengaktifkan logging.
LOG_NOT_EXPORTED	Ada resource yang tidak memiliki sink log yang sesuai.
AUDIT_LOGGING_DISABLED	Logging audit telah dinonaktifkan untuk resource ini.
MFA_NOT_ENFORCED	Ada pengguna yang tidak menggunakan verifikasi 2 langkah.
ROUTE_NOT_MONITORED	Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
OWNER_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.
AUDIT_CONFIG_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit.
BUCKET_IAM_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Peran Khusus.
FIREWALL_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC).
NETWORK_NOT_MONITORED	Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
SQL_INSTANCE_NOT_MONITORED	Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.
DEFAULT_NETWORK	Jaringan default ada dalam project.
DNS_LOGGING_DISABLED	Logging DNS di jaringan VPC tidak diaktifkan.
PUBSUB_CMEK_DISABLED	Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
PUBLIC_SQL_INSTANCE	Instance database Cloud SQL menerima koneksi dari semua alamat IP.
SSL_NOT_ENFORCED	Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL.
AUTO_BACKUP_DISABLED	Database Cloud SQL tidak mengaktifkan pencadangan otomatis.
SQL_CMEK_DISABLED	Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
SQL_LOG_CHECKPOINTS_DISABLED	Flag database log_checkpoints untuk instance Cloud SQL for PostgreSQL tidak disetel ke aktif.
SQL_LOG_CONNECTIONS_DISABLED	Flag database log_connections untuk instance Cloud SQL for PostgreSQL tidak disetel ke aktif.
SQL_LOG_DISCONNECTIONS_DISABLED	Flag database log_disconnections untuk instance Cloud SQL for PostgreSQL tidak disetel ke aktif.
SQL_LOG_DURATION_DISABLED	Flag database log_duration untuk instance Cloud SQL for PostgreSQL tidak disetel ke aktif.
SQL_LOG_LOCK_WAITS_DISABLED	Flag database log_lock_waits untuk instance Cloud SQL for PostgreSQL tidak disetel ke aktif.
SQL_LOG_STATEMENT	Flag database log_statement untuk instance Cloud SQL untuk PostgreSQL tidak disetel ke Ddl (semua pernyataan definisi data).
SQL_NO_ROOT_PASSWORD	Database Cloud SQL tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
SQL_PUBLIC_IP	Database Cloud SQL memiliki alamat IP publik.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Flag database contained database authentication untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Flag database cross_db_ownership_chaining untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_LOCAL_INFILE	Flag database local_infile untuk instance Cloud SQL for MySQL tidak disetel ke nonaktif.
SQL_LOG_MIN_ERROR_STATEMENT	Flag database log_min_error_statement untuk instance Cloud SQL for PostgreSQL tidak disetel dengan tepat.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Flag database log_min_error_statement untuk instance Cloud SQL for PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
SQL_LOG_TEMP_FILES	Flag database log_temp_files untuk instance Cloud SQL for PostgreSQL tidak disetel ke "0".
SQL_REMOTE_ACCESS_ENABLED	Flag database remote access untuk instance Cloud SQL for SQL Server tidak disetel ke nonaktif.
SQL_SKIP_SHOW_DATABASE_DISABLED	Flag database skip_show_database untuk instance Cloud SQL untuk MySQL tidak disetel ke aktif.
SQL_TRACE_FLAG_3625	Flag database 3625 (trace flag) untuk instance Cloud SQL untuk SQL Server tidak disetel ke aktif.
SQL_USER_CONNECTIONS_CONFIGURED	Flag database user connections untuk instance Cloud SQL untuk SQL Server dikonfigurasi.
SQL_USER_OPTIONS_CONFIGURED	Flag database user options untuk instance Cloud SQL untuk SQL Server dikonfigurasi.
PUBLIC_BUCKET_ACL	Bucket Cloud Storage dapat diakses secara publik.
BUCKET_POLICY_ONLY_DISABLED	Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.
BUCKET_CMEK_DISABLED	Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi.
FLOW_LOGS_DISABLED	Ada subnetwork VPC yang menonaktifkan log alur.
PRIVATE_GOOGLE_ACCESS_DISABLED	Ada subjaringan pribadi tanpa akses ke Google API publik.
kms_key_region_europe	Karena kebijakan perusahaan, semua kunci enkripsi harus tetap disimpan di Eropa.
kms_non_euro_region	Karena kebijakan perusahaan, semua kunci enkripsi harus tetap disimpan di Eropa.
LEGACY_NETWORK	Jaringan lama ada dalam project.
LOAD_BALANCER_LOGGING_DISABLED	Logging dinonaktifkan untuk load balancer.

Temuan GCP_SECURITYCENTER_POSTURE_VIOLATION yang didukung

Anda dapat menemukan pemetaan UDM di tabel Referensi pemetaan kolom: PELANGGARAN POSTUR.

Nama temuan	Deskripsi
SECURITY_POSTURE_DRIFT	Penyimpangan dari kebijakan yang ditentukan dalam postur keamanan. Hal ini terdeteksi oleh layanan postur keamanan.
SECURITY_POSTURE_POLICY_DRIFT	Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar update postur.
SECURITY_POSTURE_POLICY_DELETE	Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar update postur.
SECURITY_POSTURE_DETECTOR_DRIFT	Layanan postur keamanan mendeteksi perubahan pada detektor Security Health Analytics yang terjadi di luar update postur.
SECURITY_POSTURE_DETECTOR_DELETE	Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar update postur.

Format log Pusat Keamanan yang didukung

Parser Security Center mendukung log dalam format JSON.

Contoh log Security Center yang didukung

Contoh log GCP_SECURITYCENTER_THREAT

JSON

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME",
    "state": "ACTIVE",
    "category": "Credential Access: External Member Added To Privileged Group",
    "sourceProperties": {
      "sourceId": {
        "organizationNumber": "ORGANIZATION_ID",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "persistence",
        "indicator": "audit_log",
        "ruleName": "external_member_added_to_privileged_group"
      },
      "detectionPriority": "HIGH",
      "affectedResources": [
        {
          "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
        },
        {
          "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
        }
      ],
      "evidence": [
        {
          "sourceLogId": {
            "resourceContainer": "organizations/ORGANIZATION_ID",
            "timestamp": {
              "seconds": "1633622881",
              "nanos": 6.73869E8
            },
            "insertId": "INSERT_ID"
          }
        }
      ],
      "properties": {
        "externalMemberAddedToPrivilegedGroup": {
          "principalEmail": "abc@gmail.com",
          "groupName": "group:GROUP_NAME@ORGANIZATION_NAME",
          "externalMember": "user:abc@gamil.com",
          "sensitiveRoles": [
            {
              "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
              "roleName": [
                "ROLES"
              ]
            }
          ]
        }
      },
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "dummy display name",
          "url": " dummy.url.com"
        },
        "cloudLoggingQueryUri": [
          {
            "displayName": "Cloud Logging Query Link",
            "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d"
          }
        ]
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2022-10-01T16:08:03.888Z",
    "createTime": "2022-10-01T16:08:04.516Z",
    "severity": "HIGH",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "findingClass": "THREAT"
  },
  "resource": {
    "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
  }
}

Contoh log GCP_SECURITYCENTER_MISCONFIGURATION

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "eventApps",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab",
    "category": "API_KEY_APIS_UNRESTRICTED",
    "compliances": [
      {
        "standard": "cis",
        "version": "1.0",
        "ids": [
          "1.12"
        ]
      },
      {
        "standard": "cis",
        "version": "1.1",
        "ids": [
          "1.14"
        ]
      },
      {
        "standard": "cis",
        "version": "1.2",
        "ids": [
          "1.14"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      }
    },
    "createTime": "2022-12-01T15:16:21.119Z",
    "database": {},
    "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "eventTime": "2022-12-01T14:35:42.317Z",
    "exfiltration": {},
    "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705",
    "findingClass": "MISCONFIGURATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "severity": "MEDIUM",
    "sourceDisplayName": "Security Health Analytics",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "display_name": "dummy-display-name",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "domainname.com",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\"
    "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.",
    "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "ScannerName": "API_KEY_SCANNER",
    "ResourcePath": [
      "projects/eventapps-27705/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "cis": [
        {
          "version": "1.0",
          "ids": [
            "1.12"
          ]
        },
        {
          "version": "1.1",
          "ids": [
            "1.14"
          ]
        },
        {
          "version": "1.2",
          "ids": [
            "1.14"
          ]
        }
      ]
    },
    "ReactivationCount": 0
  }
}

Contoh log GCP_SECURITYCENTER_OBSERVATION

JSON

{
  "findings": {
    "access": {
      "principalEmail": "dummy.user@dummy.com",
      "callerIp": "198.51.100.1",
      "callerIpGeo": {
        "regionCode": "SG"
      },
      "serviceName": "compute.googleapis.com",
      "methodName": "v1.compute.projects.setCommonInstanceMetadata",
      "principalSubject": "user:dummy.user@dummy.com"
    },
    "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Persistence: Project SSH Key Added",        
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy.user@dummy.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2022-11-10T18:33:07.631Z",
    "database": {},
    "eventTime": "2022-11-10T18:33:07.271Z",
    "exfiltration": {},
    "findingClass": "OBSERVATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "primaryTactic": "PERSISTENCE",
      "primaryTechniques": [
        "ACCOUNT_MANIPULATION",
        "SSH_AUTHORIZED_KEYS"
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID",
    "parentDisplayName": "Sensitive Actions Service",
    "resourceName": "//compute.googleapis.com/projects/spring-banner-350111",
    "severity": "LOW",
    "sourceDisplayName": "Sensitive Actions Service",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/spring-banner-350111",
    "display_name": "spring-banner-350111",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "parent_display_name": "spring-banner-350111",
    "type": "google.compute.Project",
    "folders": []
  },
  "sourceProperties": {
    "sourceId": {
      "projectNumber": "856289305908",
      "customerOrganizationNumber": "ORGANIZATION_ID"
    },
    "detectionCategory": {
      "ruleName": "sensitive_action",
      "subRuleName": "add_ssh_key"
    },
    "detectionPriority": "LOW",
    "affectedResources": [
      {
        "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111"
      },
      {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908"
      }
    ],
    "evidence": [
      {
        "sourceLogId": {
          "projectId": "spring-banner-350111",
          "resourceContainer": "projects/spring-banner-350111",
          "timestamp": {
            "seconds": "1668105185",
            "nanos": 642158000
          },
          "insertId": "v2stobd9ihi"
        }
      }
    ],
    "properties": {},
    "findingId": "findingId",
    "contextUris": {
      "mitreUri": {
        "displayName": "MITRE Link",
        "url": "dummy.domain.com"
      }
    }
  }
}

Contoh log GCP_SECURITYCENTER_VULNERABILITY

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "Sample-00000",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "CLEAR_TEXT_PASSWORD",
    "compliances": [
      {
        "standard": "owasp",
        "version": "2017",
        "ids": [
          "A3"
        ]
      },
      {
        "standard": "owasp",
        "version": "2021",
        "ids": [
          "A02"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      }
    },
    "createTime": "2022-11-24T09:28:52.589Z",
    "database": {},
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "eventTime": "2022-11-24T04:56:26Z",
    "exfiltration": {},
    "externalUri": "https://sample.dummy.com/",
    "findingClass": "VULNERABILITY",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Web Security Scanner",
    "resourceName": "//dummy.sample.com",
    "severity": "MEDIUM",
    "sourceDisplayName": "Web Security Scanner",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com",
    "display_name": "dummy_name",
    "project_name": "//cloudresourcemanager.googleapis.com",
    "project_display_name": "dummy_name",
    "parent_name": "//dummy.sample.com",
    "parent_display_name": "Sample-Dev-Project",
    "type": "sample.cloud.dummy.Project",
    "folders": [
      {
        "resourceFolderDisplayName": "Sample-Dev-Project",
        "resourceFolder": "//cloudresourcemanager.googleapis.com/"
      }
    ]
  },
  "sourceProperties": {
    "severity": "MEDIUM",
    "fuzzedUrl": "dummy.domain.com",
    "form": {
      "actionUri": "dummy.domain.com",
      "fields": [
        "os_username",
        "os_password",
        "",
        "os_cookie",
        "os_destination",
        "user_role",
        "atl_token",
        "login"
      ]
    },
    "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID",
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=",
    "httpMethod": "GET",
    "finalUrl": "http://0.0.0.0:0000/sample.dummy=",
    "ResourcePath": [
      "projects/sample-dummy/",
      "folders/FOLDER_ID/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "owasp": [
        {
          "version": "2017",
          "ids": [
            "A3"
          ]
        },
        {
          "version": "2021",
          "ids": [
            "A02"
          ]
        }
      ]
    }
  }
}

Contoh log GCP_SECURITYCENTER_ERROR

JSON

{
  "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
  "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
  "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423",
  "state": "ACTIVE",
  "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS",
  "securityMarks": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
  },
  "eventTime": "2022-11-23T16:36:03.458107Z",
  "createTime": "2022-11-01T07:36:37.078Z",
  "severity": "CRITICAL",
  "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID",
  "mute": "UNDEFINED",
  "findingClass": "SCC_ERROR",
  "access": {
    "callerIpGeo": {}
  },
  "contacts": {
    "security": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    },
    "technical": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    }
  },
  "parentDisplayName": "Security Command Center",
  "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.",
  "iamBindings": [
    {
      "member": "test.user@domain.com"
    }
  ],
  "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n   - If you don\\u0027t see the service account listed, click  **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n    1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update"
}

Contoh log GCP_SECURITYCENTER_UNSPECIFIED

JSON

{
  "findings": {
    "access": {},
    "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "OPEN_FIREWALL",
    "compliances": [
      {
        "standard": "pci",
        "ids": [
          "1.2.1"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2021-07-20T08:33:25.343Z",
    "database": {},
    "eventTime": "2022-07-19T07:44:38.374Z",
    "exfiltration": {},
    "externalUri": "dummy.domain.com",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "MUTED",
    "muteInitiator": "Muted by test.user@dummy.xyz",
    "muteUpdateTime": "2022-03-08T05:41:06.507Z",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID"
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "severity": "HIGH",
    "sourceDisplayName": "Sanity_grc",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "display_name": "",
    "project_name": "",
    "project_display_name": "",
    "parent_name": "",
    "parent_display_name": "",
    "type": "",
    "folders": []
  },
  "sourceProperties": {
    "ScannerName": "FIREWALL_SCANNER",
    "ResourcePath": [
      "projects/calcium-vial-280707/",
      "organizations/ORGANIZATION_ID/"
    ],
    "ReactivationCount": 0,
    "AllowedIpRange": "All",
    "ExternallyAccessibleProtocolsAndPorts": [
      {
        "IPProtocol": "tcp",
        "ports": [
          "80"
        ]
      }
    ]
  }
}

Referensi pemetaan kolom

Bagian ini menjelaskan cara parser Google Security Operations memetakan kolom log Security Command Center ke kolom Model Data Terpadu (UDM) Google Security Operations untuk set data.

Referensi pemetaan kolom: kolom log mentah ke kolom UDM

Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk temuan Deteksi Ancaman Peristiwa Security Command Center.

Kolom RawLog	Pemetaan UDM	Logika
`compliances.ids`	`about.labels [compliance_ids]` (tidak digunakan lagi)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (tidak digunakan lagi)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (tidak digunakan lagi)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (tidak digunakan lagi)	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (tidak digunakan lagi)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (tidak digunakan lagi)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (tidak digunakan lagi)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (tidak digunakan lagi)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Jika nilai kolom log `message` cocok dengan pola ekspresi reguler `kubernetes`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke CLUSTER. Jika tidak, jika nilai kolom log `message` cocok dengan ekspresi reguler `kubernetes.*?pods`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke POD.
	`about.resource.attribute.cloud.environment`	Kolom UDM `about.resource.attribute.cloud.environment` ditetapkan ke `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle`, maka kolom UDM `extension.auth.type` akan ditetapkan ke `SSO`.
	`extension.mechanism`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom UDM `extension.mechanism` akan ditetapkan ke `USERNAME_PASSWORD`.
	`extensions.auth.type`	Jika nilai kolom log `principal.user.user_authentication_status` sama dengan `ACTIVE`, kolom UDM `extensions.auth.type` akan ditetapkan ke `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (tidak digunakan lagi)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (tidak digunakan lagi)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (tidak digunakan lagi)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom log `sourceProperties.properties.loadBalancerName` akan dipetakan ke kolom UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom UDM `intermediary.resource.resource_type` akan ditetapkan ke `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Jika nilai kolom log `canonicalName` tidak kosong, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`. Jika nilai kolom log `canonicalName` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`.
	`metadata.product_name`	Kolom UDM `metadata.product_name` ditetapkan ke `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Kolom UDM `metadata.vendor_name` ditetapkan ke `Google`.
	`network.application_protocol`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom UDM `network.application_protocol` akan ditetapkan ke `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.indicatorContext.asn` akan dipetakan ke kolom UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.indicatorContext.carrierName` akan dipetakan ke kolom UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.reverseDnsDomain` akan dipetakan ke kolom UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseClass` akan dipetakan ke kolom UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseValue` akan dipetakan ke kolom UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.domainName` akan dipetakan ke kolom UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.ttl` akan dipetakan ke kolom UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseData.responseType` akan dipetakan ke kolom UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.authAnswer` akan dipetakan ke kolom UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.queryName` akan dipetakan ke kolom UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.queryType` akan dipetakan ke kolom UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.responseCode` akan dipetakan ke kolom UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.callerUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, kolom log `sourceProperties.properties.callerUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` akan dipetakan ke kolom UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom UDM `network.ip_protocol` akan disetel ke salah satu nilai berikut: `ICMP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `1` atau `ICMP`. `IGMP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `2` atau `IGMP`. `TCP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `6` atau `TCP`. `UDP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `17` atau `UDP`. `IP6IN4` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `41` atau `IP6IN4`. `GRE` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `47` atau `GRE`. `ESP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `50` atau `ESP`. `EIGRP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `88` atau `EIGRP`. `ETHERIP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `97` atau `ETHERIP`. `PIM` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `103` atau `PIM`. `VRRP` jika kondisi berikut terpenuhi: Nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan `112` atau `VRRP`. `UNKNOWN_IP_PROTOCOL` jika nilai kolom log `sourceProperties.properties.ipConnection.protocol` sama dengan nilai lainnya.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.organizationName` akan dipetakan ke kolom UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.behaviorPeriod` akan dipetakan ke kolom UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Active Scan: Log4j Vulnerable to RCE`, kolom log `sourceProperties.properties.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `access.callerIp` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, maka kolom log `access.callerIp` dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Evasion: Access from Anonymizing Proxy`, kolom log `sourceProperties.properties.changeFromBadIp.ip` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain`, kolom log `sourceProperties.properties.dnsContexts.sourceIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.srcIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, dan jika nilai kolom log `sourceProperties.properties.ipConnection.srcIp` tidak sama dengan `sourceProperties.properties.indicatorContext.ipAddress`, maka kolom log `sourceProperties.properties.indicatorContext.ipAddress` dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.callerIp` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (tidak digunakan lagi)	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Active Scan: Log4j Vulnerable to RCE`, kolom log `sourceProperties.properties.scannerDomain` akan dipetakan ke kolom UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Jika nilai kolom log `category` cocok dengan ekspresi reguler `Active Scan: Log4j Vulnerable to RCE`, kolom log `sourceProperties.properties.scannerDomain` akan dipetakan ke kolom UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (tidak digunakan lagi)	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.jobState` akan dipetakan ke kolom `principal.labels.key/value` dan UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.jobState` akan dipetakan ke kolom UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.indicatorContext.countryCode` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.job.location` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.job.location` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.anomalousLocation.anomalousLocation` akan dipetakan ke kolom UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.srcPort` akan dipetakan ke kolom UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.jobLink` akan dipetakan ke kolom UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` akan dipetakan ke kolom UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.job.jobId` akan dipetakan ke kolom UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.srcVpc.subnetworkName` akan dipetakan ke kolom UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.srcVpc.projectId` akan dipetakan ke kolom UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.vpcName` akan dipetakan ke kolom UDM `principal.resource_ancestors.name` dan kolom UDM `principal.resource_ancestors.resource_type` akan disetel ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `sourceProperties.sourceId.*?customerOrganizationNumber`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Jika nilai kolom log `sourceProperties.properties.projectId` tidak kosong, kolom log `sourceProperties.properties.projectId` akan dipetakan ke kolom UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` akan dipetakan ke kolom UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Jika nilai kolom log `category` sama dengan `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.sourceInstanceDetails` akan dipetakan ke kolom UDM `principal.resource.name`.
	`principal.user.account_type`	Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `serviceAccount`, kolom UDM `principal.user.account_type` akan ditetapkan ke `SERVICE_ACCOUNT_TYPE`. Jika tidak, jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `user`, kolom UDM `principal.user.account_type` akan ditetapkan ke `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom UDM `principal.user.attribute.labels.key` akan ditetapkan ke `rawUserAgent` dan kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` akan dipetakan ke kolom UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Discovery: Service Account Self-Investigation`, kolom log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Evasion: Access from Anonymizing Proxy`, kolom log `sourceProperties.properties.changeFromBadIp.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.userEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive` atau `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Impair Defenses: Strong Authentication Disabled` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, maka kolom log `sourceProperties.properties.principalEmail` dipetakan ke kolom UDM `principal.user.email_addresses`. Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, maka kolom log `sourceProperties.properties.principalEmail` dipetakan ke kolom UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Persistence: New Geography`, maka kolom log `access.principalEmail` dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.vpcViolation.userEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle`, maka kolom log `sourceProperties.properties.ssoState` dipetakan ke kolom UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.userName` akan dipetakan ke kolom UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.threatIntelligenceSource` akan dipetakan ke kolom UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.sourceIp` akan dipetakan ke kolom UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` akan dipetakan ke kolom UDM `security_result.about.resource.name`. Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.restrictedResources.resourceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` akan ditetapkan ke `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.allowedServices.serviceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` akan ditetapkan ke `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.restrictedServices.serviceName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` akan ditetapkan ke `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.delta.accessLevels.policyName` akan dipetakan ke kolom UDM `security_result.about.resource.name` dan kolom UDM `security_result.about.resource_type` akan ditetapkan ke `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?security`, kolom UDM `security_result.about.user.attribute.roles.name` akan ditetapkan ke `security`. Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?technical`, kolom UDM `security_result.about.user.attribute.roles.name` akan ditetapkan ke `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom UDM `security_result.action` akan ditetapkan ke `BLOCK`. Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, dan jika nilai kolom log `sourceProperties.properties.attempts.authResult` sama dengan `SUCCESS`, kolom UDM `security_result.action` akan ditetapkan ke `BLOCK`. Jika tidak, kolom UDM `security_result.action` akan ditetapkan ke `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.restrictedResources.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.restrictedServices.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.allowedServices.action` akan dipetakan ke kolom UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.delta.accessLevels.action` akan dipetakan ke kolom UDM `security_result.action_details`.
	`security_result.alert_state`	Jika nilai kolom log `state` sama dengan `ACTIVE`, kolom UDM `security_result.alert_state` akan ditetapkan ke `ALERTING`. Jika tidak, kolom UDM `security_result.alert_state` akan ditetapkan ke `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteInitiator` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteUpdateTimer` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Jika nilai kolom log `category` sama dengan `Persistence: New User Agent`, kolom log `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.authResult` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.customer_industry` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.customer_name` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.lasthit` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.myVote` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.support_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.tag_name` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.upVotes` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.downVotes` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Initial Access: Log4j Compromise Attempt` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP` atau `Persistence: IAM Anomalous Grant`, kolom UDM `security_result.detection_fields.key` akan disetel ke `sourceProperties_contextUris_relatedFindingUri_url` dan kolom log `sourceProperties.contextUris.relatedFindingUri.url` akan dipetakan ke kolom UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP`, maka kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.contextUris.workspacesUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.workspacesUri.url` dipetakan ke kolom UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` akan dipetakan ke kolom UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.tags.description` akan dipetakan ke kolom UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP`, kolom log `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `HIGH`, kolom UDM `security_result.priority` akan ditetapkan ke `HIGH_PRIORITY`. Jika tidak, jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `MEDIUM`, kolom UDM `security_result.priority` akan ditetapkan ke `MEDIUM_PRIORITY`. Jika tidak, jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `LOW`, kolom UDM `security_result.priority` akan ditetapkan ke `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Exfiltration`, kolom log `sourceProperties.properties.vpcViolation.violationReason` akan dipetakan ke kolom UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.query` akan dipetakan ke kolom UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `parent` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` akan dipetakan ke kolom UDM `src.resource_ancestors.name` dan kolom UDM `src.resource_ancestors.resource_type` akan ditetapkan ke `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolder` akan dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.projectNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.sourceId.organizationNumber` akan dipetakan ke kolom UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom UDM `src.resource.attribute.labels.key` akan ditetapkan ke `grantees` dan kolom log `database.grantees` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Jika nilai kolom log `resource.type` cocok dengan pola ekspresi reguler `(?i)google.compute.Instance or google.container.Cluster`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.projectId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.backupId` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `src.resource.attribute.labels.key/value` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, maka kolom log `exfiltration.sources.name` dipetakan ke kolom UDM `src.resource.name` dan kolom log `resourceName` dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` akan dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` akan ditetapkan ke `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` akan dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` akan ditetapkan ke `CloudSQL`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` akan dipetakan ke kolom UDM `src.resource.name` dan kolom UDM `src.resource.resource_subtype` akan ditetapkan ke `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, maka kolom log `exfiltration.sources.name` dipetakan ke kolom UDM `src.resource.name` dan kolom log `resourceName` dipetakan ke kolom UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.sourceTable.tableId` akan dipetakan ke kolom UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, maka kolom log `access.serviceName` dipetakan ke kolom UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Impair Defenses: Two Step Verification Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.properties.serviceName` dipetakan ke kolom UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Jika nilai kolom log `category` sama dengan `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, kolom log `sourceProperties.properties.domainName` akan dipetakan ke kolom UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.domains.0` akan dipetakan ke kolom UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` akan dipetakan ke kolom UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` akan dipetakan ke kolom UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.permissions` akan dipetakan ke kolom UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Jika nilai kolom log `category` sama dengan `Persistence: IAM Anomalous Grant`, kolom log `sourceProperties.properties.customRoleSensitivePermissions.roleName` akan dipetakan ke kolom UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Jika nilai kolom log `category` sama dengan `Credential Access: Sensitive Role Granted To Hybrid Group`, kolom log `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` akan dipetakan ke kolom UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.destIp` akan dipetakan ke kolom UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (tidak digunakan lagi)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (tidak digunakan lagi)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (tidak digunakan lagi)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (tidak digunakan lagi)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (tidak digunakan lagi)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (tidak digunakan lagi)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (tidak digunakan lagi)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (tidak digunakan lagi)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (tidak digunakan lagi)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (tidak digunakan lagi)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (tidak digunakan lagi)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (tidak digunakan lagi)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (tidak digunakan lagi)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (tidak digunakan lagi)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (tidak digunakan lagi)	Jika nilai kolom log `category` sama dengan `Impair Defenses: Strong Authentication Disabled` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.properties.methodName` dipetakan ke kolom UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Jika nilai kolom log `category` sama dengan `Impair Defenses: Strong Authentication Disabled` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.properties.methodName` dipetakan ke kolom UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.network.location` dipetakan ke kolom UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Outgoing DoS`, kolom log `sourceProperties.properties.ipConnection.destPort` akan dipetakan ke kolom UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.query` akan dipetakan ke kolom UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Kolom log `containers.labels.name` dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.key` dan kolom log `containers.labels.value` dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.projectId` akan dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP`, kolom log `sourceProperties.properties.destVpc.subnetworkName` akan dipetakan ke kolom UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.network.subnetworkName` akan dipetakan ke kolom UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Jika nilai kolom log `category` sama dengan `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `sourceProperties.properties.network.subnetworkId` akan dipetakan ke kolom UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`containers.name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Credential Access: Privileged Group Opened To Public`, kolom log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Cryptomining Bad IP` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Bad Domain` atau `Configurable Bad Domain`, maka kolom log `sourceProperties.properties.destVpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom log `sourceProperties.properties.vpc.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VPC_NETWORK`. Jika tidak, jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE`, maka kolom log `sourceProperties.properties.vpcName` dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom log `sourceProperties.properties.gceInstanceId` akan dipetakan ke kolom UDM `target.resource_ancestors.product_object_id` dan kolom UDM `target.resource_ancestors.resource_type` akan disetel ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added Startup Script` atau `Persistence: GCE Admin Added SSH Key`, kolom UDM `target.resource_ancestors.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.zone` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.product_object_id`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.product_object_id`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom UDM `target.resource.attribute.labels.key` akan ditetapkan ke `exportScope` dan kolom log `sourceProperties.properties.exportToGcs.exportScope` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.objectName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.originalUri` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, kolom log `sourceProperties.properties.metadataKeyOperation` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.targets.components` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketAccess` akan dipetakan ke kolom UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`resourceName`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`exfiltration.targets.name`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.bucketResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Restore Backup to External Organization`, kolom log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.vmName` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan Malware: Bad Domain atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Configurable Bad Domain`, kolom log `sourceProperties.properties.instanceDetails` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`, serta kolom UDM `target.resource.resource_type` akan disetel ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.attribute.name` dan kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name` dan kolom log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` akan dipetakan ke kolom UDM `target.resource.attribute.labels`, serta kolom UDM `target.resource.resource_type` akan disetel ke `TABLE`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.instanceId` akan dipetakan ke kolom UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionName` akan dipetakan ke kolom UDM `target.resource.resource_subtype`. Jika tidak, jika nilai kolom log `category` sama dengan `Credential Access: External Member Added To Privileged Group`, kolom UDM `target.resource.resource_subtype` akan ditetapkan ke `Privileged Group`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom UDM `target.resource.resource_subtype` akan ditetapkan ke `BigQuery`.
	`target.resource.resource_type`	Jika nilai kolom log `sourceProperties.properties.extractionAttempt.destinations.collectionType` cocok dengan ekspresi reguler `BUCKET`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `STORAGE_BUCKET`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `TABLE`.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `target.url`. Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction`, kolom log `sourceProperties.properties.extractionAttempt.jobLink` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration`, kolom log `sourceProperties.properties.exportToGcs.gcsUri` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Jika nilai kolom log `category` sama dengan `Initial Access: Log4j Compromise Attempt`, kolom log `sourceProperties.properties.requestUrl` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control`, kolom log `sourceProperties.properties.policyLink` akan dipetakan ke kolom UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Jika nilai kolom log `category` sama dengan `Persistence: New Geography`, kolom log `sourceProperties.properties.anomalousLocation.notSeenInLast` akan dipetakan ke kolom UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.attempts.username` akan dipetakan ke kolom UDM `target.user.userid`. Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom log `userid` akan dipetakan ke kolom UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Jika nilai kolom log `category` sama dengan `Initial Access: Suspicious Login Blocked`, kolom log `userid` akan dipetakan ke kolom UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (tidak digunakan lagi)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (tidak digunakan lagi)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (tidak digunakan lagi)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (tidak digunakan lagi)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Added Binary Executed` atau `Added Library Loaded`, kolom log `sourceProperties.VM_Instance_Name` akan dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource_ancestors.resource_type` akan disetel ke `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike` atau `Application DDoS Attack Attempt`, maka kolom log `sourceProperties.Backend_Service` dipetakan ke kolom UDM `target.resource.name` dan kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Jika nilai kolom log `category` sama dengan `Increasing Deny Ratio` atau `Allowed Traffic Spike` atau `Application DDoS Attack Attempt`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `BACKEND_SERVICE`. Jika nilai kolom log `category` sama dengan `Configurable Bad Domain`, kolom UDM `target.resource.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : Mengekstrak `user_id` dari kolom log `sourceProperties.properties.sensitiveRoleGrant.principalEmail`, lalu kolom `user_id` dipetakan ke kolom UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : Mengekstrak `user_id` dari kolom log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`, lalu kolom `user_id` dipetakan ke kolom UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, maka Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field, lalu kolom log `region` dipetakan ke kolom UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, maka Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field, lalu kolom log `asset_prod_obj_id` dipetakan ke kolom UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, maka Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field, lalu kolom log `zone_suffix` dipetakan ke kolom UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Jika nilai kolom log `parentDisplayName` sama dengan `Virtual Machine Threat Detection`, maka Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` log field, lalu kolom log `project_name` dipetakan ke kolom UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.methodName` dipetakan ke kolom UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.methodName` dipetakan ke kolom UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.serviceName` dipetakan ke kolom UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.serviceName` dipetakan ke kolom UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.attemptTimes` dipetakan ke kolom UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.attemptTimes` dipetakan ke kolom UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.lastOccurredTime` dipetakan ke kolom UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Jika nilai kolom log `category` sama dengan `Initial Access: Excessive Permission Denied Actions`, maka kolom log `sourceProperties.properties.failedActions.lastOccurredTime`. dipetakan ke kolom UDM `additional.fields`.
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	Jika nilai kolom log `category` berisi salah satu nilai berikut, kolom log `resource.resourcePathString` akan dipetakan ke kolom UDM `src.resource.attribute.labels[resource_path_string]`. `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` Jika tidak, kolom log `resource.resourcePathString` dipetakan ke kolom UDM `target.resource.attribute.labels[resource_path_string]`.

Referensi pemetaan kolom: ID peristiwa ke jenis peristiwa

ID Acara	Jenis Peristiwa	Kategori Keamanan
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Tabel berikut berisi jenis peristiwa UDM dan pemetaan kolom UDM untuk kelas temuan Security Command Center - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION.

Kategori VULNERABILITY ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori VULNERABILITY dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa	Kategori Keamanan
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Kategori MISCONFIGURATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori SALAH KONFIGURASI dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Kategori OBSERVATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori OBSERVATION dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa
Persistensi: Kunci SSH Project Ditambahkan	SETTING_MODIFICATION
Persistensi: Menambahkan Peran Sensitif	RESOURCE_PERMISSIONS_CHANGE
Dampak: Instance GPU Dibuat	USER_RESOURCE_CREATION
Dampak: Banyak Instance Dibuat	USER_RESOURCE_CREATION

Kategori ERROR ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori ERROR dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Kategori UNSPECIFIED ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori UNSPECIFIED dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa	Kategori Keamanan
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Kategori POSTURE_VIOLATION ke jenis peristiwa UDM

Tabel berikut mencantumkan kategori POSTURE_VIOLATION dan jenis peristiwa UDM yang sesuai.

ID Acara	Jenis Peristiwa
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referensi pemetaan kolom: VULNERABILITAS

Tabel berikut mencantumkan kolom log kategori VULNERABILITY dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM	Logika
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Mengekstrak `region` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	Mengekstrak `asset_prod_obj_id` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	Mengekstrak `zone_suffix` dari `resourceName` menggunakan pola Grok, dan memetakan ke kolom UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referensi pemetaan kolom: SALAH KONFIGURASI

Tabel berikut mencantumkan kolom log kategori MISCONFIGURATION dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referensi pemetaan kolom: OBSERVATION

Tabel berikut mencantumkan kolom log kategori OBSERVATION dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referensi pemetaan kolom: ERROR

Tabel berikut mencantumkan kolom log kategori ERROR dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referensi pemetaan kolom: UNSPECIFIED

Tabel berikut mencantumkan kolom log kategori UNSPECIFIED dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referensi pemetaan kolom: POSTURE_VIOLATION

Tabel berikut mencantumkan kolom log kategori POSTURE_VIOLATION dan kolom UDM yang sesuai.

Kolom log	Pemetaan UDM	Logika
`finding.resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `finding.resourceName` tidak kosong, kolom log `finding.resourceName` akan dipetakan ke kolom UDM `target.resource.name`. Kolom `project_name` diekstrak dari kolom log `finding.resourceName` menggunakan pola Grok. Jika nilai kolom `project_name` tidak kosong, kolom `project_name` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `resourceName` tidak kosong, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`. Kolom `project_name` diekstrak dari kolom log `resourceName` menggunakan pola Grok. Jika nilai kolom `project_name` tidak kosong, kolom `project_name` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Jika nilai kolom log `finding.cloudProvider` berisi salah satu nilai berikut, kolom log `finding.cloudProvider` akan dipetakan ke kolom UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Jika nilai kolom log `cloudProvider` berisi salah satu nilai berikut, kolom log `cloudProvider` akan dipetakan ke kolom UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Jika nilai kolom log `resource.cloudProvider` berisi salah satu nilai berikut, kolom log `resource.cloudProvider` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Kolom Umum: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

Tabel berikut mencantumkan kolom umum kategori SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION dan kolom UDM yang sesuai.

Kolom RawLog	Pemetaan UDM	Logika
`compliances.ids`	`about.labels [compliance_ids]` (tidak digunakan lagi)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (tidak digunakan lagi)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (tidak digunakan lagi)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (tidak digunakan lagi)	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Jika nilai kolom log `connections.destinationIp` tidak sama dengan `sourceProperties.properties.ipConnection.destIp`, kolom log `connections.destinationIp` akan dipetakan ke kolom UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (tidak digunakan lagi)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (tidak digunakan lagi)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (tidak digunakan lagi)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (tidak digunakan lagi)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Kolom UDM `target.resource_ancestors.resource_type` ditetapkan ke `CLUSTER`.
	`about.resource.attribute.cloud.environment`	Kolom UDM `about.resource.attribute.cloud.environment` ditetapkan ke `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (tidak digunakan lagi)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (tidak digunakan lagi)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (tidak digunakan lagi)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (tidak digunakan lagi)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Jika nilai kolom log `canonicalName` tidak kosong, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`. Jika nilai kolom log `canonicalName` kosong, kolom log `sourceProperties.evidence.sourceLogId.insertId` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `sourceProperties.sourceId.*?customerOrganizationNumber`, kolom log `sourceProperties.sourceId.customerOrganizationNumber` akan dipetakan ke kolom UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	Jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `serviceAccount`, kolom UDM `principal.user.account_type` akan ditetapkan ke `SERVICE_ACCOUNT_TYPE`. Jika tidak, jika nilai kolom log `access.principalSubject` cocok dengan ekspresi reguler `user`, kolom UDM `principal.user.account_type` akan ditetapkan ke `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Jika nilai kolom log `access.principalEmail` tidak kosong dan nilai kolom log `access.principalEmail` cocok dengan ekspresi reguler `^.+@.+$`, kolom log `access.principalEmail` akan dipetakan ke kolom UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.userid`	Jika nilai kolom log `access.principalEmail` tidak kosong dan nilai kolom log `access.principalEmail` tidak cocok dengan ekspresi reguler `^.+@.+$`, kolom log `access.principalEmail` akan dipetakan ke kolom UDM `principal.user.userid`.
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?security`, kolom UDM `security_result.about.user.attribute.roles.name` akan ditetapkan ke `security`. Jika nilai kolom log `message` cocok dengan ekspresi reguler `contacts.?technical`, kolom UDM `security_result.about.user.attribute.roles.name` akan ditetapkan ke `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Jika nilai kolom log `state` sama dengan `ACTIVE`, kolom UDM `security_result.alert_state` akan ditetapkan ke `ALERTING`. Jika tidak, kolom UDM `security_result.alert_state` akan ditetapkan ke `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	Kolom log `findingClass - category` dipetakan ke kolom UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteInitiator` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Jika nilai kolom log `mute` sama dengan `MUTED` atau `UNMUTED`, kolom log `muteUpdateTimer` akan dipetakan ke kolom UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Jika nilai kolom log `category` sama dengan `Active Scan: Log4j Vulnerable to RCE` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Initial Access: Log4j Compromise Attempt` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP` atau `Persistence: IAM Anomalous Grant`, kolom UDM `security_result.detection_fields.key` akan disetel ke `sourceProperties_contextUris_relatedFindingUri_url` dan kolom log `sourceProperties.contextUris.relatedFindingUri.url` akan dipetakan ke kolom UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad Domain` atau `Malware: Cryptomining Bad IP`, maka kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dipetakan ke kolom UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Jika nilai kolom log `category` sama dengan `Initial Access: Account Disabled Hijacked` atau `Initial Access: Disabled Password Leak` atau `Initial Access: Government Based Attack` atau `Initial Access: Suspicious Login Blocked` atau `Impair Defenses: Strong Authentication Disabled` atau `Persistence: SSO Enablement Toggle` atau `Persistence: SSO Settings Changed`, maka kolom log `sourceProperties.contextUris.workspacesUri.displayName` dipetakan ke kolom UDM `security_result.detection_fields.key` dan kolom log `sourceProperties.contextUris.workspacesUri.url` dipetakan ke kolom UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `HIGH`, kolom UDM `security_result.priority` akan ditetapkan ke `HIGH_PRIORITY`. Jika tidak, jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `MEDIUM`, kolom UDM `security_result.priority` akan ditetapkan ke `MEDIUM_PRIORITY`. Jika tidak, jika nilai kolom log `sourceProperties.detectionPriority` sama dengan `LOW`, kolom UDM `security_result.priority` akan ditetapkan ke `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.query` akan dipetakan ke kolom UDM `src.process.command_line`. Jika tidak, kolom log `database.query` akan dipetakan ke kolom UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`. Jika tidak, kolom log `resource.folders.resourceFolderDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.folders.resourceFolderDisplay` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.value`. Jika tidak, kolom log `resource.gcpMetadata.folders.resourceFolderDisplay` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.folders.resourceFolder` akan dipetakan ke kolom UDM `src.resource_ancestors.name`. Jika tidak, kolom log `resource.gcpMetadata.folders.resourceFolder` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resource.organization`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.organization` akan dipetakan ke kolom UDM `src.resource_ancestors.name`. Jika tidak, kolom log `resource.organization` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.organization` akan dipetakan ke kolom UDM `src.resource_ancestors.name`. Jika tidak, kolom log `resource.gcpMetadata.organization` akan dipetakan ke kolom UDM `target.resource_ancestors.name`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.parentDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.parentDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.gcpMetadata.parentDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.parentName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.parentName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.parent` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.gcpMetadata.parent` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.projectDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.gcpMetadata.projectDisplayName` akan dipetakan ke kolom UDM `src.resource_ancestors.attribute.labels.key/value`. Jika tidak, kolom log `resource.gcpMetadata.projectDisplayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom log `database.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Over-Privileged Grant`, kolom UDM `src.resource.attribute.labels.key` akan ditetapkan ke `grantees` dan kolom log `database.grantees` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Jika tidak, kolom log `resource.displayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Jika tidak, kolom log `resource.display_name` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.type` akan dipetakan ke kolom UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.displayName` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Jika tidak, kolom log `resource.displayName` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `resource.display_name` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`. Jika tidak, kolom log `resource.display_name` akan dipetakan ke kolom UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.sources.components` akan dipetakan ke kolom UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: BigQuery Data Exfiltration`, kolom log `resourceName` akan dipetakan ke kolom UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Jika nilai kolom log `category` sama dengan `Defense Evasion: Modify VPC Service Control` atau `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive` atau `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: CloudSQL Restore Backup to External Organization` atau `Exfiltration: CloudSQL Over-Privileged Grant` atau `Persistence: New Geography` atau `Persistence: IAM Anomalous Grant`, maka kolom log `access.serviceName` dipetakan ke kolom UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (tidak digunakan lagi)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (tidak digunakan lagi)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (tidak digunakan lagi)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (tidak digunakan lagi)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (tidak digunakan lagi)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (tidak digunakan lagi)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (tidak digunakan lagi)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (tidak digunakan lagi)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (tidak digunakan lagi)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (tidak digunakan lagi)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (tidak digunakan lagi)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (tidak digunakan lagi)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (tidak digunakan lagi)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (tidak digunakan lagi)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Brute Force: SSH`, maka kolom log `resourceName` dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Persistence: GCE Admin Added SSH Key` atau `Persistence: GCE Admin Added Startup Script`, maka kolom log `sourceProperties.properties.projectId` dipetakan ke kolom UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `sourceProperties.properties.zone` akan dipetakan ke kolom UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` diekstrak dari kolom log `canonicalName` menggunakan pola Grok. Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.product_object_id`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `src.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Jika nilai kolom log `finding_id` tidak kosong, kolom log `finding_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [finding_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `finding_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.product_object_id`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Jika nilai kolom log `source_id` tidak kosong, kolom log `source_id` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value [source_id]`. Jika nilai kolom log `category` tidak sama dengan salah satu nilai berikut, `source_id` akan diekstrak dari kolom log `canonicalName` menggunakan pola Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Jika nilai kolom log `category` sama dengan `Exfiltration: CloudSQL Data Exfiltration` atau `Exfiltration: BigQuery Data Extraction`, kolom log `exfiltration.targets.components` akan dipetakan ke kolom UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Jika nilai kolom log `category` sama dengan `Brute Force: SSH`, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Malware: Bad Domain` atau `Malware: Bad IP` atau `Malware: Cryptomining Bad IP`, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource_ancestors.name` dan kolom UDM `target.resource.resource_type` akan ditetapkan ke `VIRTUAL_MACHINE`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Extraction` atau `Exfiltration: BigQuery Data to Google Drive`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, jika nilai kolom log `category` sama dengan `Exfiltration: BigQuery Data Exfiltration`, kolom log `exfiltration.target.name` akan dipetakan ke kolom UDM `target.resource.name`. Jika tidak, kolom log `resourceName` akan dipetakan ke kolom UDM `target.resource.name`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RegionCode`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RemoteHost`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `UserAgent`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Jika nilai kolom log `sourceProperties.Header_Signature.name` sama dengan `RequestUriPath`, kolom log `sourceProperties.Header_Signature.significantValues.value` akan dipetakan ke kolom UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.compromised_account` akan dipetakan ke kolom UDM `principal.user.userid` dan kolom UDM `principal.user.account_type` akan ditetapkan ke `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.project_identifier` akan dipetakan ke kolom UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.private_key_identifier` akan dipetakan ke kolom UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (tidak digunakan lagi)	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.action_taken` akan dipetakan ke kolom UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.action_taken` akan dipetakan ke kolom UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (tidak digunakan lagi)	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.finding_type` akan dipetakan ke kolom UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.finding_type` akan dipetakan ke kolom UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.url` akan dipetakan ke kolom UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Jika nilai kolom log `category` sama dengan `account_has_leaked_credentials`, kolom log `sourceProperties.security_result.summary` akan dipetakan ke kolom UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Langkah berikutnya

Penyerapan data ke Google Security Operations

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.