Raccogliere i risultati di Security Command Center
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di Security Command Center configurando Security Command Center e importando i risultati in Google Security Operations. Questo documento elenca anche gli eventi supportati.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations ed Esportazione dei risultati di Security Command Center in Google Security Operations. Un deployment tipico è costituito da Security Command Center e dal feed Google Security Operations configurato per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa e più complessa.
Il deployment contiene i seguenti componenti:
Google Cloud: il sistema da monitorare in cui è installato Security Command Center.
Risultati di Event Threat Detection di Security Command Center: raccoglie informazioni dall'origine dati e genera risultati.
Google Security Operations: conserva e analizza i log di Security Command Center.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser Security Command Center con le seguenti etichette di importazione:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configura Security Command Center e Google Cloud per inviare i risultati a Google Security Operations
Assicurati che tutti i sistemi nel deployment siano configurati nel fuso orario UTC.
Abilita l'importazione dei risultati di Security Command Center.
Risultati di Event Threat Detection supportati
Questa sezione elenca i risultati supportati di Event Threat Detection. Per informazioni sulle regole e sui risultati di Event Threat Detection di Security Command Center, consulta Regole di Event Threat Detection.
| Nome risultato | Descrizione |
|---|---|
| Scansione attiva: Log4j vulnerabile all'esecuzione di codice remoto | Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviate dagli scanner di vulnerabilità Log4j supportati. |
| Forza bruta: SSH | Rilevamento di attacco Brute Force riuscito di SSH su un host. |
| Accesso con credenziali: membro esterno aggiunto al gruppo con privilegi | Rileva quando un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili). Un risultato viene generato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per saperne di più, vedi Modifiche non sicure a Google Gruppi. |
| Accesso alle credenziali: gruppo con privilegi aperto al pubblico | Rileva quando un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato in modo che sia accessibile al pubblico. Per saperne di più, vedi Modifiche non sicure a Google Gruppi. |
| Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido | Rileva quando vengono concessi ruoli sensibili a un gruppo Google con membri esterni. Per saperne di più, vedi Modifiche non sicure a Google Gruppi. |
| Defense Evasion: Modify VPC Service Control | Rileva una modifica a un perimetro di controllo di servizio VPC esistente che comporterebbe una riduzione della protezione offerta da quel perimetro. |
| Scoperta: può ottenere il controllo di oggetti Kubernetes sensibiliAnteprima | Un utente malintenzionato ha tentato di determinare su quali oggetti sensibili in Google Kubernetes Engine (GKE) può eseguire query utilizzando il comando kubectl auth can-i get. |
| Discovery: auto-indagine sul service account | Rilevamento di una credenziale del account di servizio Identity and Access Management (IAM) utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. |
| Evasione: accesso da proxy con anonimizzazione | Rilevamento di Google Cloud modifiche al servizio provenienti da indirizzi IP proxy anonimi, come gli indirizzi IP Tor. |
| Esfiltrazione: esfiltrazione dei dati di BigQuery | Rileva i seguenti scenari:
|
| Esfiltrazione: estrazione dei dati di BigQuery | Rileva i seguenti scenari:
|
| Esfiltrazione: dati BigQuery su Google Drive | Rileva i seguenti scenari:
Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in una cartella Google Drive. |
| Esfiltrazione: esfiltrazione dei dati di Cloud SQL | Rileva i seguenti scenari:
|
| Esfiltrazione: ripristino del backup di Cloud SQL in un'organizzazione esterna | Rileva quando il backup di un'istanza Cloud SQL viene ripristinato in un'istanza al di fuori dell'organizzazione. |
| Esfiltrazione: concessione di privilegi eccessivi di Cloud SQL SQL | Rileva quando a un utente o ruolo Cloud SQL Postgres sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema. |
| Compromissione delle difese: autenticazione avanzata disattivata | La verifica in due passaggi è stata disattivata per l'organizzazione. |
| Compromissione delle difese: verifica in due passaggi disattivata | Un utente ha disattivato la verifica in due passaggi. |
| Accesso iniziale: account compromesso disattivato | L'account di un utente è stato sospeso a causa di attività sospetta. |
| Accesso iniziale: perdita di password disattivata | L'account di un utente è disattivato perché è stata rilevata una fuga di password. |
| Accesso iniziale: attacco supportato da enti governativi | Un attacco sostenuto da un governo potrebbe aver tentato di compromettere un account utente o un computer. |
| Accesso iniziale: tentativo di compromissione di Log4j | Rileva le ricerche Java Naming and Directory Interface (JNDI) all'interno di intestazioni o parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un tentativo di rilevamento o exploit, non una vulnerabilità o un compromesso. |
| Accesso iniziale: accesso sospetto bloccato | È stato rilevato e bloccato un accesso sospetto all'account di un utente. |
| Malware Log4j: dominio non valido | Rilevamento del traffico di exploit Log4j in base a una connessione o a una ricerca di un dominio noto utilizzato negli attacchi Log4j. |
| Malware Log4j: IP non valido | Rilevamento del traffico di exploit Log4j in base a una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j. |
| Malware: dominio non valido | Rilevamento di malware basato su una connessione a un dominio dannoso noto o su una ricerca di questo dominio. |
| Malware: IP non valido | Rilevamento di malware in base a una connessione a un indirizzo IP dannoso noto. |
| Malware: dominio non valido per il cryptomining | Rilevamento del cryptomining in base a una connessione a un dominio di mining di criptovalute noto o a una ricerca di questo dominio. |
| Malware: IP non valido per il cryptomining | Rilevamento del mining di criptovalute in base a una connessione a un indirizzo IP di mining noto. |
| DoS in uscita | Rilevamento del traffico di attacco DoS in uscita. |
| Persistenza: l'amministratore di Compute Engine ha aggiunto la chiave SSH | Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di una settimana). |
| Persistenza: l'amministratore Compute Engine ha aggiunto lo script di avvio | Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di una settimana). |
| Persistenza: concessione IAM anomala | Rilevamento dei privilegi concessi a utenti IAM e service account che non sono membri dell'organizzazione. Questo rilevatore utilizza come contesto le norme IAM esistenti di un'organizzazione. Se si verifica una concessione IAM sensibile a un membro esterno e sono presenti meno di tre criteri IAM esistenti simili, questo rilevatore genera un risultato. |
| Persistenza: nuovo metodo APIAnteprima | Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM. |
| Persistenza: nuova regione | Rilevamento di utenti IAM e service account che accedono a Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP richiedenti. |
| Persistenza: nuovo user agent | Rilevamento di service account IAM che accedono a Google Cloud da user agent anomali o sospetti. |
| Persistenza: attivazione/disattivazione SSO | L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata. |
| Persistenza: impostazioni SSO modificate | Le impostazioni del Single Sign-On per l'account amministratore sono state modificate. |
| Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibiliAnteprima | Per eseguire l'escalation del privilegio, un utente malintenzionato ha tentato di modificare gli oggetti ClusterRole e ClusterRoleBinding cluster-admin utilizzando una richiesta PUT o PATCH. |
| Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principaleAnteprima | Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che concede l'accesso con il ruolo cluster-admin. |
| Escalation dei privilegi: creazione di associazioni Kubernetes sensibiliAnteprima | Un utente malintenzionato ha tentato di creare nuovi oggetti RoleBinding o ClusterRoleBinding cluster-admin per aumentare i propri privilegi. |
| Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesseAnteprima | Un utente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse. |
| Escalation dei privilegi: avvio di un container Kubernetes con privilegiAnteprima | Un utente malintenzionato ha creato pod contenenti container con privilegi o con funzionalità di escalation dei privilegi.
Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true. |
| Accesso iniziale: chiave del service account inattivo creata | Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni. |
| Albero dei processi | Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un binario shell, il rilevatore controlla il processo padre. Se il processo padre è un binario che non deve generare un processo shell, il rilevatore attiva un risultato. |
| Shell secondaria imprevista | Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un binario shell, il rilevatore controlla il processo padre. Se il processo padre è un binario che non deve generare un processo shell, il rilevatore attiva un risultato. |
| Esecuzione: file binario aggiuntivo dannoso eseguito | Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine container originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: file binario dannoso modificato eseguito | Il rilevatore cerca un file binario in esecuzione originariamente incluso nell'immagine container, ma modificato durante l'esecuzione e identificato come dannoso in base alle informazioni sulle minacce. |
| Escalation dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione | Rileva quando viene trovata una richiesta delegata anomala in più passaggi per un'attività amministrativa. |
| Account deployment di emergenza utilizzato: break_glass_account | Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza) |
| Dominio non valido configurabile: APT29_Domains | Rileva la connessione a un nome di dominio specificato |
| Concessione del ruolo imprevista: ruoli vietati | Rileva quando un ruolo specificato viene concesso a un utente |
| IP non valido configurabile | Rileva la connessione a un indirizzo IP specificato |
| Tipo di istanza Compute Engine imprevisto | Rileva la creazione di istanze Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata. |
| Immagine di origine Compute Engine imprevista | Rileva la creazione di un'istanza Compute Engine con un'immagine o una famiglia di immagini che non corrisponde a un elenco specificato |
| Regione Compute Engine imprevista | Rileva la creazione di un'istanza Compute Engine in una regione che non si trova in un elenco specificato. |
| Ruolo personalizzato con autorizzazione vietata | Rileva quando a un'entità viene concesso un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate. |
| Chiamata API Cloud imprevista | Rileva quando un'entità specificata chiama un metodo specificato su una risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari corrispondono a una singola voce di log. |
Risultati GCP_SECURITYCENTER_ERROR supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: ERRORE.
| Nome risultato | Descrizione |
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e il account di servizio di Security Command Center non ha accesso al perimetro. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare i risultati a Logging. |
| API_DISABLED | Un'API richiesta è disattivata per il progetto. Il servizio disattivato non può inviare risultati a Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | Container Threat Detection non può essere attivato sul cluster perché non è possibile eseguire il pull (scaricare) di un'immagine container richiesta da gcr.io, l'host di immagini Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet Container Threat Detection richiesto da Container Threat Detection. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Container Threat Detection non può essere attivato su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet richiesto da Container Threat Detection.
Se visualizzati nella console Google Cloud , i dettagli del problema includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché l'instrumentazione di rilevamento non può essere abilitata, aggiornata o disattivata. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché all'account di servizio predefinito GKE sul cluster mancano le autorizzazioni. In questo modo, l'attivazione di Container Threat Detection sul cluster non va a buon fine. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non vengono prodotti risultati. |
Risultati di GCP_SECURITYCENTER_OBSERVATION supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: OBSERVATION.
| Nome risultato | Descrizione |
|---|---|
| Persistenza: chiave SSH del progetto aggiunta | È stata creata una chiave SSH a livello di progetto in un progetto più vecchio di 10 giorni. |
| Persistenza: aggiungi ruolo sensibile | È stato concesso un ruolo IAM a livello di organizzazione sensibile o con privilegi elevati in un'organizzazione con più di 10 giorni. |
Risultati GCP_SECURITYCENTER_UNSPECIFIED supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: UNSPECIFIED.
| Nome risultato | Descrizione |
|---|---|
| OPEN_FIREWALL | Un firewall è configurato per essere aperto all'accesso pubblico. |
Risultati GCP_SECURITYCENTER_VULNERABILITY supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: VULNERABILITÀ.
| Nome risultato | Descrizione |
|---|---|
| DISK_CSEK_DISABLED | I dischi di questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Rilevatore di casi speciali. |
| ALPHA_CLUSTER_ENABLED | Le funzionalità del cluster alpha sono abilitate per un cluster GKE. |
| AUTO_REPAIR_DISABLED | La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato integro e in esecuzione, è disabilitata. |
| AUTO_UPGRADE_DISABLED | La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata. |
| CLUSTER_SHIELDED_NODES_DISABLED | I nodi GKE schermati non sono abilitati per un cluster |
| COS_NOT_USED | Le VM di Compute Engine non utilizzano Container-Optimized OS, progettato per eseguire i container Docker in modo sicuro. Google Cloud |
| INTEGRITY_MONITORING_DISABLED | Il monitoraggio dell'integrità è disabilitato per un cluster GKE. |
| IP_ALIAS_DISABLED | È stato creato un cluster GKE con intervalli IP alias disabilitati. |
| LEGACY_METADATA_ENABLED | I metadati legacy sono abilitati sui cluster GKE. |
| RELEASE_CHANNEL_DISABLED | Un cluster GKE non è iscritto a un canale di rilascio. |
| DATAPROC_IMAGE_OUTDATED | È stato creato un cluster Dataproc con una versione immagine Dataproc interessata dalle vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). |
| PUBLIC_DATASET | Un set di dati è configurato per essere aperto all'accesso pubblico. |
| DNSSEC_DISABLED | DNSSEC è disabilitato per le zone Cloud DNS. |
| RSASHA1_FOR_SIGNING | RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. |
| REDIS_ROLE_USED_ON_ORG | Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella. |
| KMS_PUBLIC_KEY | Una chiave di crittografia Cloud KMS è accessibile pubblicamente. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | Il flag di database "autenticazione di database indipendente" per un'istanza di Cloud SQL per SQL Server non è impostato su Off. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Il flag di database cross_db_ownership_chaining per un'istanza Cloud SQL per SQL Server non è impostato su Off. |
| SQL_EXTERNAL_SCRIPTS_ENABLED | Il flag di database external scripts enabled per un'istanza Cloud SQL per SQL Server non è impostato su Off. |
| SQL_LOCAL_INFILE | Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su off. |
| SQL_LOG_ERROR_VERBOSITY | Il flag di database log_error_verbosity per un'istanza Cloud SQL per PostgreSQL non è impostato su default o su un valore più restrittivo. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | Il flag di database log_min_duration_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su "-1". |
| SQL_LOG_MIN_ERROR_STATEMENT | Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato correttamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato. |
| SQL_LOG_MIN_MESSAGES | Il flag di database log_min_messages per un'istanza Cloud SQL per PostgreSQL non è impostato su warning. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | Il flag di database log_executor_status per un'istanza Cloud SQL per PostgreSQL non è impostato su off. |
| SQL_LOG_HOSTNAME_ENABLED | Il flag di database log_hostname per un'istanza Cloud SQL per PostgreSQL non è impostato su off. |
| SQL_LOG_PARSER_STATS_ENABLED | Il flag di database log_parser_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off. |
| SQL_LOG_PLANNER_STATS_ENABLED | Il flag di database log_planner_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off. |
| SQL_LOG_STATEMENT_STATS_ENABLED | Il flag di database log_statement_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off. |
| SQL_LOG_TEMP_FILES | Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0". |
| SQL_REMOTE_ACCESS_ENABLED | Il flag di database "remote access" per un'istanza SQL Server di Cloud SQL non è impostato su Off. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On. |
| SQL_TRACE_FLAG_3625 | Il flag di database 3625 (flag di traccia) per un'istanza Cloud SQL per SQL Server non è impostato su On. |
| SQL_USER_CONNECTIONS_CONFIGURED | Il flag di database user connections per un'istanza SQL Server di Cloud SQL è configurato. |
| SQL_USER_OPTIONS_CONFIGURED | Il flag di database user options per un'istanza SQL Server di Cloud SQL è configurato. |
| SQL_WEAK_ROOT_PASSWORD | Un database Cloud SQL ha una password debole configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| PUBLIC_LOG_BUCKET | Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. |
| ACCESSIBLE_GIT_REPOSITORY | Un repository Git è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository SVN. |
| ACCESSIBLE_ENV_FILE | Un file ENV è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al file ENV. |
| CACHEABLE_PASSWORD_INPUT | Le password inserite nell'applicazione web possono essere memorizzate nella cache normale del browser anziché in uno spazio di archiviazione sicuro delle password. |
| CLEAR_TEXT_PASSWORD | Le password vengono trasmesse in testo normale e possono essere intercettate. Per risolvere questo problema, cripta la password trasmessa sulla rete. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith("".google.com""). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin, ad esempio .equals("".google.com""). |
| INVALID_CONTENT_TYPE | È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo problema, imposta il valore corretto per l'intestazione HTTP X-Content-Type-Options. |
| INVALID_HEADER | Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. |
| MISMATCHING_SECURITY_HEADER_VALUES | Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, il che comporta un comportamento indefinito. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. |
| MISSPELLED_SECURITY_HEADER_NAME | Un'intestazione di sicurezza presenta errori ortografici e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP. |
| MIXED_CONTENT | Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS. |
| OUTDATED_LIBRARY | È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente. |
| SERVER_SIDE_REQUEST_FORGERY | È stata rilevata una vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste. |
| SESSION_ID_LEAK | Quando effettua una richiesta multiorigine, l'applicazione web include l'identificatore di sessione dell'utente nell'intestazione della richiesta Referer. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente. |
| SQL_INJECTION | È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL. |
| STRUTS_INSECURE_DESERIALIZATION | È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione. |
| XSS (cross-site scripting) | Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. |
| XSS_ANGULAR_CALLBACK | Una stringa fornita dall'utente non viene sottoposta a escape e AngularJS può interpolarla. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework di Angular. |
| XSS_ERROR | Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente. |
| XXE_REFLECTED_FILE_LEAKAGE | È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo problema, configura i parser XML in modo che non consentano entità esterne. |
| BASIC_AUTHENTICATION_ENABLED | L'autenticazione del certificato client o IAM deve essere attivata sui cluster Kubernetes. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | I cluster Kubernetes devono essere creati con il certificato client abilitato. |
| LABELS_NOT_USED | Le etichette possono essere usate per suddividere i dati di fatturazione. |
| PUBLIC_STORAGE_OBJECT | L'oggetto di archiviazione ACL non deve concedere l'accesso a allUsers. |
| SQL_BROAD_ROOT_LOGIN | L'accesso root a un database SQL deve essere limitato a un elenco di IP attendibili e autorizzati. |
| WEAK_CREDENTIALS | Questo rilevatore verifica la presenza di credenziali deboli utilizzando metodi di forza bruta ncrack.
Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
| ELASTICSEARCH_API_EXPOSED | L'API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere altri documenti al servizio. |
| EXPOSED_GRAFANA_ENDPOINT | Nelle versioni di Grafana da 8.0.0 a 8.3.0, gli utenti possono accedere senza autenticazione a un endpoint che presenta una vulnerabilità di attraversamento delle directory che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per ulteriori informazioni, consulta CVE-2021-43798. |
| EXPOSED_METABASE | Le versioni da x.40.0 a x.40.4 di Metabase, una piattaforma di analisi dei dati open source, contengono una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e una potenziale inclusione di file locali, incluse le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per ulteriori informazioni, consulta CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Questo rilevatore controlla se gli endpoint Actuator sensibili delle applicazioni Spring Boot sono esposti. Alcuni endpoint predefiniti, come /heapdump, potrebbero esporre informazioni sensibili. Altri endpoint, come /env, potrebbero portare all'esecuzione di codice da remoto. Al momento viene controllato solo /heapdump. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Questo rilevatore controlla se l'API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticato. |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension (JMX) consente il monitoraggio e la diagnostica remoti per le applicazioni Java. L'esecuzione di JMX con un endpoint RMI (Remote Method Invocation) non protetto consente a qualsiasi utente remoto di creare un MBean javax.management.loading.MLet e utilizzarlo per creare nuovi MBean da URL arbitrari. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Questo rilevatore verifica se è esposto un notebook Jupyter non autenticato. Per impostazione predefinita, Jupyter consente l'esecuzione di codice remoto sulla macchina host. Un notebook Jupyter non autenticato espone la VM di hosting al rischio di esecuzione di codice da remoto. |
| KUBERNETES_API_EXPOSED | L'API Kubernetes è esposta e può essere accessibile da chiamanti non autenticati. Ciò consente l'esecuzione di codice arbitrario sul cluster Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Questo rilevatore controlla se un'installazione di WordPress è incompleta. Un'installazione di WordPress non completata espone la pagina /wp-admin/install.php, che consente all'aggressore di impostare la password di amministratore e, possibilmente, compromettere il sistema. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Questo rilevatore verifica la presenza di un'istanza Jenkins non autenticata inviando un ping di probe all'endpoint /view/all/newJob come visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo createItem, che consente la creazione di job arbitrari che potrebbero portare all'esecuzione di codice da remoto. |
| APACHE_HTTPD_RCE | È stata rilevata una vulnerabilità in Apache HTTP Server 2.4.49 che consente a un malintenzionato di utilizzare un attacco di attraversamento del percorso per mappare gli URL ai file al di fuori della radice del documento prevista e visualizzare l'origine dei file interpretati, come gli script CGI. È noto che questo problema viene sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non le versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: |
| APACHE_HTTPD_SSRF | Gli autori degli attacchi possono creare un URI per il server web Apache che fa sì che mod_proxy inoltri la richiesta a un server di origine scelto dall'aggressore. Questo problema riguarda Apache HTTP Server 2.4.48 e versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: |
| CONSUL_RCE | Gli autori degli attacchi possono eseguire codice arbitrario su un server Consul perché l'istanza Consul è configurata con -enable-script-checks impostato su true e l'API HTTP di Consul non è protetta e accessibile tramite la rete. In Consul 0.9.0 e versioni precedenti, i controlli degli script sono attivi per impostazione predefinita. Per saperne di più, consulta Protezione di Consul dal rischio di esecuzione di codice remoto in configurazioni specifiche. Per verificare la presenza di questa vulnerabilità, Rapid Vulnerability Detection registra un servizio nell'istanza Consul utilizzando l'endpoint REST /v1/health/service, che esegue una delle seguenti operazioni: * Un comando curl a un server remoto al di fuori della rete. Un malintenzionato può utilizzare il comando curl per estrarre i dati dal server. * Un comando printf. Il rilevamento rapido delle vulnerabilità verifica quindi l'output del comando utilizzando l'endpoint REST /v1/health/service. * Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e l'annullamento della registrazione del servizio utilizzando l'endpoint REST /v1/agent/service/deregister/. |
| DRUID_RCE | Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è pensata per essere utilizzata in ambienti ad alta affidabilità ed è disattivata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta appositamente creata che costringe Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, indipendentemente dalla configurazione del server. Questo può essere sfruttato per eseguire codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per ulteriori informazioni, consulta CVE-2021-25646 Detail. |
| DRUPAL_RCE | Le versioni di Drupal precedenti alla 7.58, 8.x precedenti alla 8.3.9, 8.4.x precedenti alla 8.4.6 e 8.5.x precedenti alla 8.5.1 sono vulnerabili all'esecuzione di codice remoto nelle richieste AJAX dell'API Form. Le versioni di Drupal 8.5.x precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione di codice remoto quando è abilitato il modulo RESTful Web Service o JSON:API. Questa vulnerabilità può essere sfruttata da un malintenzionato non autenticato utilizzando una richiesta POST personalizzata. |
| FLINK_FILE_DISCLOSURE | Una vulnerabilità nelle versioni 1.11.0, 1.11.1 e 1.11.2 di Apache Flink consente agli aggressori di leggere qualsiasi file sul file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager. |
| GITLAB_RCE | Nelle versioni 11.9 e successive di GitLab Community Edition (CE) ed Enterprise Edition (EE), GitLab non convalida correttamente i file immagine passati a un parser di file. Un malintenzionato può sfruttare questa vulnerabilità per l'esecuzione di comandi remoti. |
| GoCD_RCE | In GoCD 21.2.0 e versioni precedenti, esiste un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint presenta una vulnerabilità di attraversamento della directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione. |
| JENKINS_RCE | Le versioni di Jenkins 2.56 e precedenti e 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un malintenzionato non autenticato che utilizza un oggetto Java serializzato dannoso. |
| JOOMLA_RCE | Le versioni di Joomla 1.5.x, 2.x e 3.x precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata con un'intestazione creata appositamente contenente oggetti PHP serializzati. Le versioni di Joomla dalla 3.0.0 alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST che contiene un oggetto PHP serializzato creato appositamente. |
| LOG4J_RCE | In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate nelle configurazioni, nei messaggi di log e nei parametri non proteggono da LDAP controllati da malintenzionati e da altri endpoint correlati a JNDI. Per ulteriori informazioni, consulta CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT fino alla versione 2.3.0 consente il ripristino arbitrario della password e l'accesso amministrativo non autenticato fornendo un valore confirm_hash vuoto a verify.php. |
| OGNL_RCE | Le istanze di Confluence Server e Data Center contengono una vulnerabilità di iniezione OGNL che consente a un malintenzionato non autenticato di eseguire codice arbitrario. Per ulteriori informazioni, consulta CVE-2021-26084. |
| OPENAM_RCE | Il server OpenAM 14.6.2 e versioni precedenti e il server ForgeRock AM 6.5.3 e versioni precedenti presentano una vulnerabilità di deserializzazione Java nel parametro jato.pageSession su più pagine. L'exploit non richiede l'autenticazione e l'esecuzione di codice remoto può essere attivata inviando una singola richiesta /ccversion/* creata appositamente al server. La vulnerabilità esiste a causa dell'utilizzo di Sun ONE Application. Per ulteriori informazioni, consulta CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso di rete tramite HTTP di compromettere un Oracle WebLogic Server. Gli attacchi riusciti a questa vulnerabilità possono comportare l'acquisizione di Oracle WebLogic Server. Per ulteriori informazioni, consulta CVE-2020-14882. |
| PHPUNIT_RCE | Le versioni di PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una singola richiesta POST non autenticata. |
| PHP_CGI_RCE | Le versioni di PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice da remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query che non contengono il carattere = (segno di uguale). In questo modo, gli autori degli attacchi possono aggiungere opzioni della riga di comando che vengono eseguite sul server. |
| PORTAL_RCE | La deserializzazione di dati non attendibili nelle versioni di Liferay Portal precedenti alla 7.2.1 CE GA2 consente agli autori di attacchi remoti di eseguire codice arbitrario tramite i servizi web JSON. |
| REDIS_RCE | Se un'istanza Redis non richiede l'autenticazione per eseguire comandi amministrativi, gli autori degli attacchi potrebbero essere in grado di eseguire codice arbitrario. |
| SOLR_FILE_EXPOSED | L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un malintenzionato può creare direttamente una richiesta per attivare una configurazione specifica e, infine, implementare un attacco SSRF (server-side request forgery) o leggere file arbitrari. |
| SOLR_RCE | Le versioni di Apache Solr dalla 5.0.0 alla 8.3.1 sono vulnerabili all'esecuzione di codice remoto tramite VelocityResponseWriter se params.resource.loader.enabled è impostato su true. Ciò consente agli autori degli attacchi di creare un parametro che contiene un modello Velocity dannoso. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Le versioni di Apache Tomcat 9.x precedenti alla 9.0.31, 8.x precedenti alla 8.5.51, 7.x precedenti alla 7.0.100 e tutte le 6.x sono vulnerabili alla divulgazione del codice sorgente e della configurazione tramite un connettore Apache JServ Protocol esposto. In alcuni casi, questa vulnerabilità viene sfruttata per eseguire codice da remoto se è consentito il caricamento di file. |
| VBULLETIN_RCE | I server vBulletin che eseguono le versioni da 5.0.0 a 5.5.4 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere sfruttata da un malintenzionato non autenticato utilizzando un parametro di query in una richiesta di stringa di percorso. |
| VCENTER_RCE | Le versioni di VMware vCenter Server 7.x precedenti alla 7.0 U1c, 6.7 precedenti alla 6.7 U3l e 6.5 precedenti alla 6.5 U3n sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato appositamente in una directory accessibile dal web, quindi attiva l'esecuzione del file. |
| WEBLOGIC_RCE | Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità di esecuzione di codice remoto, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Per ulteriori informazioni, consulta CVE-2020-14883. |
| OS_VULNERABILITY | VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo (OS) installato per una VM Compute Engine. |
| UNUSED_IAM_ROLE | IAM Recommender ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | IAM Recommender ha rilevato che il ruolo IAM predefinito originale concesso a un service agent è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. |
Risultati GCP_SECURITYCENTER_MISCONFIGURATION supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: CONFIGURAZIONE ERRATA.
| Nome risultato | Descrizione |
|---|---|
| API_KEY_APIS_UNRESTRICTED | Le chiavi API vengono utilizzate in modo troppo ampio. Per risolvere il problema, limita l'utilizzo della chiave API in modo da consentire solo le API necessarie all'applicazione. |
| API_KEY_APPS_UNRESTRICTED | Esistono chiavi API utilizzate senza limitazioni, che consentono l'utilizzo da parte di qualsiasi app non attendibile |
| API_KEY_EXISTS | Un progetto utilizza chiavi API anziché l'autenticazione standard. |
| API_KEY_NOT_ROTATED | La chiave API non è stata ruotata da più di 90 giorni |
| PUBLIC_COMPUTE_IMAGE | Un'immagine Compute Engine è accessibile pubblicamente. |
| CONFIDENTIAL_COMPUTING_DISABLED | Confidential Computing è disabilitato su un'istanza Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | Vengono utilizzate chiavi SSH a livello di progetto, che consentono l'accesso a tutte le istanze del progetto. |
| COMPUTE_SECURE_BOOT_DISABLED | Questa Shielded VM non ha l'avvio protetto abilitato. L'utilizzo dell'avvio protetto aiuta a proteggere le istanze di macchine virtuali da minacce avanzate come rootkit e bootkit. |
| DEFAULT_SERVICE_ACCOUNT_USED | Un'istanza è configurata per utilizzare il account di servizio predefinito. |
| FULL_API_ACCESS | Un'istanza è configurata per utilizzare il account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
| OS_LOGIN_DISABLED | OS Login è disabilitato su questa istanza. |
| PUBLIC_IP_ADDRESS | Un'istanza ha un indirizzo IP pubblico. |
| SHIELDED_VM_DISABLED | Shielded VM è disabilitata su questa istanza. |
| COMPUTE_SERIAL_PORTS_ENABLED | Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza. |
| DISK_CMEK_DISABLED | I dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| HTTP_LOAD_BALANCER | Un'istanza utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione. |
| IP_FORWARDING_ENABLED | L'IP forwarding è abilitato sulle istanze. |
| WEAK_SSL_POLICY | Un'istanza ha una policy SSL debole. |
| BINARY_AUTHORIZATION_DISABLED | Autorizzazione binaria è disattivata su un cluster GKE. |
| CLUSTER_LOGGING_DISABLED | Il logging non è abilitato per un cluster GKE. |
| CLUSTER_MONITORING_DISABLED | Il monitoraggio è disabilitato sui cluster GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | La crittografia dei secret a livello di applicazione è disabilitata in un cluster GKE. |
| INTRANODE_VISIBILITY_DISABLED | La visibilità tra nodi è disabilitata per un cluster GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | Le reti autorizzate del control plane non sono abilitate sui cluster GKE. |
| NETWORK_POLICY_DISABLED | Il criterio di rete è disabilitato sui cluster GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | L'avvio protetto è disattivato per un cluster GKE. |
| OVER_PRIVILEGED_ACCOUNT | Un account di servizio ha un accesso al progetto eccessivamente ampio in un cluster. |
| OVER_PRIVILEGED_SCOPES | Un account di servizio del nodo ha ambiti di accesso ampi. |
| POD_SECURITY_POLICY_DISABLED | PodSecurityPolicy è disattivato in un cluster GKE. |
| PRIVATE_CLUSTER_DISABLED | Un cluster GKE ha un cluster privato disabilitato. |
| WORKLOAD_IDENTITY_DISABLED | Un cluster GKE non è iscritto a un canale di rilascio. |
| LEGACY_AUTHORIZATION_ENABLED | L'autorizzazione precedente è abilitata sui cluster GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | I dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| WEB_UI_ENABLED | L'interfaccia utente web (dashboard) di GKE è abilitata. |
| AUTO_REPAIR_DISABLED | La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato integro e in esecuzione, è disabilitata. |
| AUTO_UPGRADE_DISABLED | La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata. |
| CLUSTER_SHIELDED_NODES_DISABLED | I nodi GKE schermati non sono abilitati per un cluster |
| RELEASE_CHANNEL_DISABLED | Un cluster GKE non è iscritto a un canale di rilascio. |
| BIGQUERY_TABLE_CMEK_DISABLED | Una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. |
| DATASET_CMEK_DISABLED | Un set di dati BigQuery non è configurato per utilizzare una chiave CMEK predefinita. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. |
| EGRESS_DENY_RULE_NOT_SET | Su un firewall non è impostata una regola di negazione per il traffico in uscita. Le regole di negazione per il traffico in uscita devono essere impostate per bloccare il traffico in uscita indesiderato. |
| FIREWALL_RULE_LOGGING_DISABLED | Il logging delle regole firewall è disabilitato. Attiva il logging delle regole firewall per eseguire l'audit dell'accesso alla rete. |
| OPEN_CASSANDRA_PORT | Un firewall è configurato in modo da avere una porta Cassandra aperta che consente l'accesso generico. |
| OPEN_SMTP_PORT | Un firewall è configurato in modo da avere una porta SMTP aperta che consente l'accesso generico. |
| OPEN_REDIS_PORT | Un firewall è configurato in modo da avere una porta REDIS aperta che consenta l'accesso generico. |
| OPEN_POSTGRESQL_PORT | Un firewall è configurato in modo da avere una porta PostgreSQL aperta che consenta l'accesso generico. |
| OPEN_POP3_PORT | Un firewall è configurato in modo da avere una porta POP3 aperta che consenta l'accesso generico. |
| OPEN_ORACLEDB_PORT | Un firewall è configurato in modo da avere una porta NETBIOS aperta che consente l'accesso generico. |
| OPEN_NETBIOS_PORT | Un firewall è configurato in modo da avere una porta NETBIOS aperta che consente l'accesso generico. |
| OPEN_MYSQL_PORT | Un firewall è configurato in modo da avere una porta MySQL aperta che consenta l'accesso generico. |
| OPEN_MONGODB_PORT | Un firewall è configurato in modo da avere una porta MONGODB aperta che consente l'accesso generico. |
| OPEN_MEMCACHED_PORT | Un firewall è configurato in modo da avere una porta MEMCACHED aperta che consente l'accesso generico. |
| OPEN_LDAP_PORT | Un firewall è configurato in modo da avere una porta LDAP aperta che consente l'accesso generico. |
| OPEN_FTP_PORT | Un firewall è configurato in modo da avere una porta FTP aperta che consenta l'accesso generico. |
| OPEN_ELASTICSEARCH_PORT | Un firewall è configurato in modo da avere una porta ELASTICSEARCH aperta che consenta l'accesso generico. |
| OPEN_DNS_PORT | Un firewall è configurato in modo da avere una porta DNS aperta che consenta l'accesso generico. |
| OPEN_HTTP_PORT | Un firewall è configurato in modo da avere una porta HTTP aperta che consenta l'accesso generico. |
| OPEN_DIRECTORY_SERVICES_PORT | Un firewall è configurato in modo da avere una porta DIRECTORY_SERVICES aperta che consente l'accesso generico. |
| OPEN_CISCOSECURE_WEBSM_PORT | Un firewall è configurato in modo da avere una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. |
| OPEN_RDP_PORT | Un firewall è configurato in modo da avere una porta RDP aperta che consenta l'accesso generico. |
| OPEN_TELNET_PORT | Un firewall è configurato in modo da avere una porta TELNET aperta che consente l'accesso generico. |
| OPEN_FIREWALL | Un firewall è configurato per essere aperto all'accesso pubblico. |
| OPEN_SSH_PORT | Un firewall è configurato in modo da avere una porta SSH aperta che consente l'accesso generico. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | A un utente sono stati assegnati i ruoli Amministratore service account e Utente service account. Ciò viola il principio di "separazione dei compiti". |
| NON_ORG_IAM_MEMBER | Esiste un utente che non utilizza le credenziali dell'organizzazione. In base a CIS Google Cloud Foundations 1.0, attualmente, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Un utente ha il ruolo Utente del service account o Creatore di token del service account a livello di progetto, anziché per un account di servizio specifico. |
| ADMIN_SERVICE_ACCOUNT | Un account di servizio ha privilegi di Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati a service account creati dall'utente. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | Una chiave del account di servizio non è stata ruotata per più di 90 giorni. |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | Un utente gestisce una chiave del account di servizio. |
| PRIMITIVE_ROLES_USED | Un utente ha il ruolo di base Proprietario, Writer o Lettore. Questi ruoli sono troppo permissivi e non devono essere utilizzati. |
| KMS_ROLE_SEPARATION | La separazione dei compiti non viene applicata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli Cloud Key Management Service (Cloud KMS): Autore crittografia/decrittografia CryptoKey, Autore crittografia o Autore decrittografia. |
| OPEN_GROUP_IAM_MEMBER | Un account Gruppi Google a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri IAM. |
| KMS_KEY_NOT_ROTATED | La rotazione non è configurata su una chiave di crittografia Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni. |
| KMS_PROJECT_HAS_OWNER | Un utente dispone delle autorizzazioni di proprietario per un progetto protetto da chiavi di crittografia. |
| TOO_MANY_KMS_USERS | Esistono più di tre utenti delle chiavi di crittografia. |
| OBJECT_VERSIONING_DISABLED | Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink. |
| LOCKED_RETENTION_POLICY_NOT_SET | Per i log non è impostata una policy di conservazione bloccata. |
| BUCKET_LOGGING_DISABLED | Esiste un bucket di archiviazione senza logging abilitato. |
| LOG_NOT_EXPORTED | Esiste una risorsa per cui non è configurato un sink di log appropriato. |
| AUDIT_LOGGING_DISABLED | La registrazione degli audit log è stata disattivata per questa risorsa. |
| MFA_NOT_ENFORCED | Esistono utenti che non utilizzano la verifica in due passaggi. |
| ROUTE_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
| OWNER_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. |
| AUDIT_CONFIG_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione di controllo. |
| BUCKET_IAM_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. |
| FIREWALL_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC). |
| NETWORK_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
| SQL_INSTANCE_NOT_MONITORED | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione dell'istanza Cloud SQL. |
| DEFAULT_NETWORK | La rete predefinita esiste in un progetto. |
| DNS_LOGGING_DISABLED | Il logging DNS su una rete VPC non è abilitato. |
| PUBSUB_CMEK_DISABLED | Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| PUBLIC_SQL_INSTANCE | Un'istanza del database Cloud SQL accetta connessioni da tutti gli indirizzi IP. |
| SSL_NOT_ENFORCED | Un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL. |
| AUTO_BACKUP_DISABLED | Un database Cloud SQL non ha i backup automatici abilitati. |
| SQL_CMEK_DISABLED | Un'istanza di database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| SQL_LOG_CHECKPOINTS_DISABLED | Il flag di database log_checkpoints per un'istanza Cloud SQL per PostgreSQL non è impostato su On. |
| SQL_LOG_CONNECTIONS_DISABLED | Il flag di database log_connections per un'istanza Cloud SQL per PostgreSQL non è impostato su On. |
| SQL_LOG_DISCONNECTIONS_DISABLED | Il flag di database log_disconnections per un'istanza Cloud SQL per PostgreSQL non è impostato su On. |
| SQL_LOG_DURATION_DISABLED | Il flag di database log_duration per un'istanza Cloud SQL per PostgreSQL non è impostato su On. |
| SQL_LOG_LOCK_WAITS_DISABLED | Il flag di database log_lock_waits per un'istanza Cloud SQL per PostgreSQL non è impostato su On. |
| SQL_LOG_STATEMENT | Il flag di database log_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su Ddl (tutte le istruzioni di definizione dei dati). |
| SQL_NO_ROOT_PASSWORD | Un database Cloud SQL non ha una password configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| SQL_PUBLIC_IP | Un database Cloud SQL ha un indirizzo IP pubblico. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | Il flag di database "autenticazione di database indipendente" per un'istanza di Cloud SQL per SQL Server non è impostato su Off. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Il flag di database cross_db_ownership_chaining per un'istanza Cloud SQL per SQL Server non è impostato su Off. |
| SQL_LOCAL_INFILE | Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su off. |
| SQL_LOG_MIN_ERROR_STATEMENT | Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato correttamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato. |
| SQL_LOG_TEMP_FILES | Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0". |
| SQL_REMOTE_ACCESS_ENABLED | Il flag di database "remote access" per un'istanza SQL Server di Cloud SQL non è impostato su Off. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On. |
| SQL_TRACE_FLAG_3625 | Il flag di database 3625 (flag di traccia) per un'istanza Cloud SQL per SQL Server non è impostato su On. |
| SQL_USER_CONNECTIONS_CONFIGURED | Il flag di database user connections per un'istanza SQL Server di Cloud SQL è configurato. |
| SQL_USER_OPTIONS_CONFIGURED | Il flag di database user options per un'istanza SQL Server di Cloud SQL è configurato. |
| PUBLIC_BUCKET_ACL | Un bucket Cloud Storage è accessibile pubblicamente. |
| BUCKET_POLICY_ONLY_DISABLED | L'accesso uniforme a livello di bucket, in precedenza chiamato Solo criterio bucket, non è configurato. |
| BUCKET_CMEK_DISABLED | Un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori. |
| FLOW_LOGS_DISABLED | Esiste una subnet VPC con i log di flusso disabilitati. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Esistono subnet private senza accesso alle API pubbliche di Google. |
| kms_key_region_europe | A causa della policy aziendale, tutte le chiavi di crittografia devono rimanere archiviate in Europa. |
| kms_non_euro_region | A causa della policy aziendale, tutte le chiavi di crittografia devono rimanere archiviate in Europa. |
| LEGACY_NETWORK | Esiste una rete legacy in un progetto. |
| LOAD_BALANCER_LOGGING_DISABLED | Il logging è disabilitato per il bilanciatore del carico. |
Risultati GCP_SECURITYCENTER_POSTURE_VIOLATION supportati
Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: POSTURE VIOLATION.
| Nome risultato | Descrizione |
|---|---|
| SECURITY_POSTURE_DRIFT | Deviazione dalle norme definite all'interno della postura di sicurezza. Questo viene rilevato dal servizio di postura di sicurezza. |
| SECURITY_POSTURE_POLICY_DRIFT | Il servizio di postura di sicurezza ha rilevato una modifica a una policy dell'organizzazione avvenuta al di fuori di un aggiornamento della postura. |
| SECURITY_POSTURE_POLICY_DELETE | Il servizio di postura di sicurezza ha rilevato l'eliminazione di un criterio dell'organizzazione. L'eliminazione è avvenuta al di fuori di un aggiornamento della postura. |
| SECURITY_POSTURE_DETECTOR_DRIFT | Il servizio di postura di sicurezza ha rilevato una modifica a un rilevatore di Security Health Analytics avvenuta al di fuori di un aggiornamento della postura. |
| SECURITY_POSTURE_DETECTOR_DELETE | Il servizio di postura di sicurezza ha rilevato l'eliminazione di un modulo personalizzato di Security Health Analytics. L'eliminazione è avvenuta al di fuori di un aggiornamento della postura. |
Formati dei log del Centro sicurezza supportati
Il parser di Security Center supporta i log in formato JSON.
Log di esempio del Centro sicurezza supportati
Log di esempio GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Log di esempio GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Log di esempio GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Log di esempio GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Log di esempio GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }Log di esempio GCP_SECURITYCENTER_UNSPECIFIED
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Riferimento alla mappatura dei campi
Questa sezione spiega come il parser di Google Security Operations mappa i campi dei log di Security Command Center ai campi del modello UDM (Unified Data Model) di Google Security Operations per i set di dati.
Riferimento per la mappatura dei campi: campi di log non elaborati e campi UDM
La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per i risultati di Event Threat Detection di Security Command Center.
| Campo RawLog | Mappatura UDM | Logic |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (deprecato) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (deprecato) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (deprecato) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (deprecato) |
Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM additional.fields.value.string_value. |
connections.destinationPort |
about.labels [connections_destination_port] (deprecato) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (deprecato) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (deprecato) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (deprecato) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Se il valore del campo log message corrisponde al pattern dell'espressione regolare kubernetes, il campo UDM target.resource_ancestors.resource_type è impostato su CLUSTER.Altrimenti, se il valore del campo log message corrisponde all'espressione regolare kubernetes.*?pods, il campo UDM target.resource_ancestors.resource_type è impostato su POD. |
|
about.resource.attribute.cloud.environment |
Il campo UDM about.resource.attribute.cloud.environment è impostato su GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, il campo UDM extension.auth.type è impostato su SSO. |
|
extension.mechanism |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo UDM extension.mechanism è impostato su USERNAME_PASSWORD. |
|
extensions.auth.type |
Se il valore del campo log principal.user.user_authentication_status è uguale a ACTIVE, il campo UDM extensions.auth.type è impostato su SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (deprecato) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (deprecato) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (deprecato) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (deprecato) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (deprecato) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (deprecato) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (deprecato) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo log sourceProperties.properties.loadBalancerName viene mappato al campo UDM intermediary.resource.name. |
|
intermediary.resource.resource_type |
Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo UDM intermediary.resource.resource_type è impostato su BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se il valore del campo log canonicalName non è vuoto, il finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok.Se il valore del campo log finding_id è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.Se il valore del campo log canonicalName è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id. |
|
metadata.product_name |
Il campo UDM metadata.product_name è impostato su Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
Il campo UDM metadata.vendor_name è impostato su Google. |
|
network.application_protocol |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo UDM network.application_protocol è impostato su DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.indicatorContext.asn viene mappato al campo UDM network.asn. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.indicatorContext.carrierName viene mappato al campo UDM network.carrier_name. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.reverseDnsDomain viene mappato al campo UDM network.dns_domain. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseClass viene mappato al campo UDM network.dns.answers.class. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Se il valore del campo log category corrisponde all'espressione regolare Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseValue viene mappato al campo UDM network.dns.answers.data. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.domainName viene mappato al campo UDM network.dns.answers.name. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.ttl viene mappato al campo UDM network.dns.answers.ttl. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseType viene mappato al campo UDM network.dns.answers.type. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.authAnswer viene mappato al campo UDM network.dns.authoritative. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.queryName viene mappato al campo UDM network.dns.questions.name. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.queryType viene mappato al campo UDM network.dns.questions.type. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseCode viene mappato al campo UDM network.dns.response_code. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.callerUserAgent viene mappato al campo UDM network.http.user_agent. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.callerUserAgent viene mappato al campo UDM network.http.user_agent. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent viene mappato al campo UDM network.http.user_agent. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Se il valore del campo di log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo UDM network.ip_protocol è impostato su uno dei seguenti valori:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.organizationName viene mappato al campo UDM network.organization_name. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.behaviorPeriod viene mappato al campo UDM network.session_duration. |
sourceProperties.properties.sourceIp |
principal.ip |
Se il valore del campo log category corrisponde all'espressione regolare Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.sourceIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.sourceIp viene mappato al campo UDM principal.ip. |
access.callerIp |
principal.ip |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log access.callerIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Se il valore del campo log category è uguale a Evasion: Access from Anonymizing Proxy, il campo log sourceProperties.properties.changeFromBadIp.ip viene mappato al campo UDM principal.ip. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.sourceIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Se il valore del campo log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.srcIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, allora se il valore del campo log sourceProperties.properties.ipConnection.srcIp non è uguale a sourceProperties.properties.indicatorContext.ipAddress, il campo log sourceProperties.properties.indicatorContext.ipAddress viene mappato al campo UDM principal.ip. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.callerIp viene mappato al campo UDM principal.ip. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (deprecato) |
Se il valore del campo log category corrisponde all'espressione regolare Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.scannerDomain viene mappato al campo UDM principal.labels.key/value. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Se il valore del campo log category corrisponde all'espressione regolare Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.scannerDomain viene mappato al campo UDM additional.fields.value.string_value. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (deprecato) |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.jobState viene mappato al campo principal.labels.key/value e UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.jobState viene mappato al campo UDM additional.fields.value.string_value. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.countryCode viene mappato al campo UDM principal.location.country_or_region. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.job.location viene mappato al campo UDM principal.location.country_or_region. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.job.location viene mappato al campo UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Se il valore del campo log category è uguale a Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier viene mappato al campo UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.anomalousLocation.anomalousLocation viene mappato al campo UDM principal.location.name. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.srcPort viene mappato al campo UDM principal.port. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.jobLink viene mappato al campo UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.job.jobId viene mappato al campo UDM principal.process.pid. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.job.jobId viene mappato al campo UDM principal.process.pid. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.srcVpc.subnetworkName viene mappato al campo UDM principal.resource_ancestors.attribute.labels.value. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.srcVpc.projectId viene mappato al campo UDM principal.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM principal.resource_ancestors.name e il campo UDM principal.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se il valore del campo log message corrisponde all'espressione regolare sourceProperties.sourceId.*?customerOrganizationNumber, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM principal.resource.attribute.labels.key/value. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Se il valore del campo log sourceProperties.properties.projectId non è vuoto, il campo log sourceProperties.properties.projectId viene mappato al campo UDM principal.resource.name. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId viene mappato al campo UDM principal.resource.name. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Se il valore del campo log category è uguale a Malware: Outgoing DoS, il campo log sourceProperties.properties.sourceInstanceDetails viene mappato al campo UDM principal.resource.name. |
|
principal.user.account_type |
Se il valore del campo log access.principalSubject corrisponde all'espressione regolare serviceAccount, il campo UDM principal.user.account_type è impostato su SERVICE_ACCOUNT_TYPE.Altrimenti, se il valore del campo log access.principalSubject corrisponde all'espressione regolare user, il campo UDM principal.user.account_type è impostato su CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo UDM principal.user.attribute.labels.key viene impostato su rawUserAgent e il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent viene mappato al campo UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Evasion: Access from Anonymizing Proxy, il campo log sourceProperties.properties.changeFromBadIp.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.userEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive o Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Impair Defenses: Strong Authentication Disabled o Impair Defenses: Two Step Verification Disabled o Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo log sourceProperties.properties.principalEmail viene mappato al campo UDM principal.user.email_addresses.Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log sourceProperties.properties.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography, il campo log access.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.vpcViolation.userEmail viene mappato al campo UDM principal.user.email_addresses. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, il campo log sourceProperties.properties.ssoState viene mappato al campo UDM principal.user.user_authentication_status. |
database.userName |
principal.user.userid |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.userName viene mappato al campo UDM principal.user.userid. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.threatIntelligenceSource viene mappato al campo UDM security_result.about.application. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.sourceIp viene mappato al campo UDM security_result.about.ip. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName viene mappato al campo UDM security_result.about.resource.name.Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.delta.restrictedResources.resourceName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type viene impostato su CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.delta.allowedServices.serviceName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type viene impostato su BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.delta.restrictedServices.serviceName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type viene impostato su BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.delta.accessLevels.policyName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type viene impostato su ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Se il valore del campo log message corrisponde all'espressione regolare contacts.?security, il campo UDM security_result.about.user.attribute.roles.name è impostato su security.Se il valore del campo log message corrisponde all'espressione regolare contacts.?technical, il campo UDM security_result.about.user.attribute.roles.name è impostato su Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo UDM security_result.action è impostato su BLOCK.Se il valore del campo log category è uguale a Brute Force: SSH, allora se il valore del campo log sourceProperties.properties.attempts.authResult è uguale a SUCCESS, il campo UDM security_result.action è impostato su BLOCK.Altrimenti, il campo UDM security_result.action è impostato su BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.restrictedResources.action viene mappato al campo UDM security_result.action_details. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.restrictedServices.action viene mappato al campo UDM security_result.action_details. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.allowedServices.action viene mappato al campo UDM security_result.action_details. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.accessLevels.action viene mappato al campo UDM security_result.action_details. |
|
security_result.alert_state |
Se il valore del campo log state è uguale a ACTIVE, il campo UDM security_result.alert_state è impostato su ALERTING.Altrimenti, il campo UDM security_result.alert_state è impostato su NOT_ALERTING. |
findingClass |
security_result.catgory_details |
Il campo di log findingClass - category è mappato al campo UDM security_result.catgory_details. |
category |
security_result.catgory_details |
Il campo di log findingClass - category è mappato al campo UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteInitiator viene mappato al campo UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteUpdateTimer viene mappato al campo UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.authResult viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.indicatorType viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.customer_industry viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.customer_name viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.lasthit viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.myVote viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.support_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_class_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_name viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.upVotes viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.downVotes viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, il campo UDM security_result.detection_fields.key è impostato su sourceProperties_contextUris_relatedFindingUri_url e il campo log sourceProperties.contextUris.relatedFindingUri.url è mappato al campo UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.url viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.contextUris.workspacesUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.workspacesUri.url viene mappato al campo UDM security_result.detection_fields.key/value. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.public_tag_name viene mappato al campo UDM intermediary.labels.key. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.description viene mappato al campo UDM intermediary.labels.value. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal viene mappato al campo UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se il valore del campo log sourceProperties.detectionPriority è uguale a HIGH, il campo UDM security_result.priority è impostato su HIGH_PRIORITY.Altrimenti, se il valore del campo log sourceProperties.detectionPriority è uguale a MEDIUM, il campo UDM security_result.priority è impostato su MEDIUM_PRIORITY.Altrimenti, se il valore del campo log sourceProperties.detectionPriority è uguale a LOW, il campo UDM security_result.priority è impostato su LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Exfiltration, il campo log sourceProperties.properties.vpcViolation.violationReason viene mappato al campo UDM security_result.summary. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.query viene mappato al campo UDM src.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolderDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.projectDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri viene mappato al campo UDM src.resource_ancestors.attribute.labels.value. |
parent |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log parent viene mappato al campo UDM src.resource_ancestors.name. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId viene mappato al campo UDM src.resource_ancestors.name e il campo UDM src.resource_ancestors.resource_type viene impostato su TABLE. |
resourceName |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log resourceName viene mappato al campo UDM src.resource_ancestors.name. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolder viene mappato al campo UDM src.resource_ancestors.name. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.projectNumber viene mappato al campo UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.organizationNumber viene mappato al campo UDM src.resource_ancestors.product_object_id. |
resource.type |
src.resource_ancestors.resource_subtype |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.displayName viene mappato al campo UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo UDM src.resource.attribute.labels.key viene impostato su grantees e il campo log database.grantees viene mappato al campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value. |
resource.displayName |
principal.hostname |
Se il valore del campo log resource.type corrisponde al pattern dell'espressione regolare (?i)google.compute.Instance or google.container.Cluster, il campo log resource.displayName viene mappato al campo UDM principal.hostname. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.datasetId viene mappato al campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.projectId viene mappato al campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.resourceUri viene mappato al campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.backupId viene mappato al campo UDM src.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log src.resource.attribute.labels.key/value viene mappato al campo UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.sources.name viene mappato al campo UDM src.resource.name e il campo log resourceName viene mappato al campo UDM src.resource_ancestors.name. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource viene mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype viene impostato su CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource viene mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype viene impostato su CloudSQL.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.cloudsqlInstanceResource viene mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype viene impostato su CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.sources.name viene mappato al campo UDM src.resource.name e il campo log resourceName viene mappato al campo UDM src.resource_ancestors.name. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.tableId viene mappato al campo UDM src.resource.product_object_id. |
access.serviceName |
target.application |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log access.serviceName viene mappato al campo UDM target.application. |
sourceProperties.properties.serviceName |
target.application |
Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.serviceName viene mappato al campo UDM target.application. |
sourceProperties.properties.domainName |
target.domain.name |
Se il valore del campo log category è uguale a Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.domainName viene mappato al campo UDM target.domain.name. |
sourceProperties.properties.domains.0 |
target.domain.name |
Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.domains.0 viene mappato al campo UDM target.domain.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action viene mappato al campo UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action viene mappato al campo UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member viene mappato al campo UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member viene mappato al campo UDM target.group.attribute.labels.key/value. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin viene mappato al campo UDM target.group.attribute.permissions.name. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.permissions viene mappato al campo UDM target.group.attribute.permissions.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName viene mappato al campo UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role viene mappato al campo UDM target.group.attribute.roles.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role viene mappato al campo UDM target.group.attribute.roles.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName viene mappato al campo UDM target.group.attribute.roles.name. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.roleName viene mappato al campo UDM target.group.attribute.roles.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName viene mappato al campo UDM target.group.group_display_name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.groupName viene mappato al campo UDM target.group.group_display_name. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.groupName viene mappato al campo UDM target.group.group_display_name. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Se il valore del campo log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.destIp viene mappato al campo UDM target.ip. |
access.methodName |
target.labels [access_methodName] (deprecato) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (deprecato) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (deprecato) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (deprecato) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (deprecato) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (deprecato) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (deprecato) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (deprecato) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (deprecato) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (deprecato) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (deprecato) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (deprecato) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (deprecato) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (deprecato) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (deprecato) |
Se il valore del campo log category è uguale a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.methodName viene mappato al campo UDM target.labels.value. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Se il valore del campo log category è uguale a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.methodName viene mappato al campo UDM additional.fields.value.string_value. |
sourceProperties.properties.network.location |
target.location.name |
Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.network.location viene mappato al campo UDM target.location.name. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.destPort viene mappato al campo UDM target.port. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.query viene mappato al campo UDM target.process.command_line. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
Il campo di log containers.labels.name è mappato al campo UDM target.resource_ancestors.attribute.labels.key e il campo di log containers.labels.value è mappato al campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.projectId viene mappato al campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.subnetworkName viene mappato al campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.network.subnetworkName viene mappato al campo UDM target.resource_ancestors.value. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.network.subnetworkId viene mappato al campo UDM target.resource_ancestors.value. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource viene mappato al campo UDM target.resource_ancestors.name. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM target.resource_ancestors.name, il campo log sourceProperties.properties.vpc.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VPC_NETWORK.Altrimenti, se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.vpcName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Increasing Deny Ratio o Allowed Traffic Spike, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo log sourceProperties.properties.gceInstanceId viene mappato al campo UDM target.resource_ancestors.product_object_id e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.zone viene mappato al campo UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
Il valore finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok.Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM src.resource.attribute.labels.key/value [finding_id]. Se il valore del campo log category è uguale a uno dei seguenti valori, finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
src.resource.product_object_id |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.product_object_id. Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.attribute.labels.key/value [source_id]. Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM target.resource.attribute.labels.key/value [finding_id]. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.product_object_id |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.product_object_id. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.attribute.labels.key/value [source_id]. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo UDM target.resource.attribute.labels.key viene impostato su exportScope e il campo log sourceProperties.properties.exportToGcs.exportScope viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.objectName viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.originalUri viene mappato al campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.metadataKeyOperation viene mappato al campo UDM target.resource.attribute.labels.key/value. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.targets.components viene mappato al campo UDM target.resource.attribute.labels.key/value. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketAccess viene mappato al campo UDM target.resource.attribute.permissions.name. |
sourceProperties.properties.name |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
resourceName |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
exfiltration.targets.name |
target.resource.name |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.vmName viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.instanceDetails viene mappato al campo UDM target.resource.name, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.attribute.name e il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId viene mappato al campo UDM target.resource.attribute.labels e il campo UDM target.resource.resource_type viene impostato su TABLE.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.instanceId viene mappato al campo UDM target.resource.product_object_id. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.resource_subtype.Altrimenti, se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo UDM target.resource.resource_subtype viene impostato su Privileged Group.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM target.resource.resource_subtype viene impostato su BigQuery. |
|
target.resource.resource_type |
Se il valore del campo log sourceProperties.properties.extractionAttempt.destinations.collectionType corrisponde all'espressione regolare BUCKET, il campo UDM target.resource.resource_type viene impostato su STORAGE_BUCKET.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM target.resource.resource_type viene impostato su TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM target.url.Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM target.url. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.gcsUri viene mappato al campo UDM target.url. |
sourceProperties.properties.requestUrl |
target.url |
Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo log sourceProperties.properties.requestUrl viene mappato al campo UDM target.url. |
sourceProperties.properties.policyLink |
target.url |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.policyLink viene mappato al campo UDM target.url. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.notSeenInLast viene mappato al campo UDM target.user.attribute.labels.value. |
sourceProperties.properties.attempts.username |
target.user.userid |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.username viene mappato al campo UDM target.user.userid.Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log userid viene mappato al campo UDM target.user.userid. |
sourceProperties.properties.principalEmail |
target.user.userid |
Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log userid viene mappato al campo UDM target.user.userid. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (deprecato) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (deprecato) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (deprecato) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (deprecato) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Added Binary Executed o Added Library Loaded, il campo log sourceProperties.VM_Instance_Name viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type viene impostato su VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Se il valore del campo log category è uguale a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, il campo log sourceProperties.Backend_Service viene mappato al campo UDM target.resource.name e il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Se il valore del campo log category è uguale a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, il campo UDM target.resource.resource_type è impostato su BACKEND_SERVICE.Se il valore del campo log category è uguale a Configurable Bad Domain, il campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : è stato estratto user_id dal campo di log sourceProperties.properties.sensitiveRoleGrant.principalEmail, poi il campo user_id è stato mappato al campo UDM principal.user.userid. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : è stato estratto user_id dal campo di log sourceProperties.properties.customRoleSensitivePermissions.principalEmail, poi il campo user_id è stato mappato al campo UDM principal.user.userid. |
resourceName |
principal.asset.location.name |
Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName log field, quindi il campo log region viene mappato al campo UDM principal.asset.location.name. |
resourceName |
principal.asset.product_object_id |
Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName log field, quindi il campo log asset_prod_obj_id viene mappato al campo UDM principal.asset.product_object_id. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName log field, quindi il campo log zone_suffix viene mappato al campo UDM principal.asset.attribute.cloud.availability_zone. |
resourceName |
principal.asset.attribute.labels[project_name] |
Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName log field, quindi il campo log project_name viene mappato al campo UDM principal.asset.attribute.labels.value. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.methodName viene mappato al campo UDM
target.labels. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.methodName viene mappato al campo UDM
additional.fields. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.serviceName viene mappato al campo UDM
target.labels. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.serviceName viene mappato al campo UDM
additional.fields. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.attemptTimes viene mappato al campo UDM
target.labels. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.attemptTimes viene mappato al campo UDM
additional.fields. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.lastOccurredTime viene mappato al campo UDM target.labels. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se il valore del campo log category è uguale a
Initial Access: Excessive Permission Denied Actions, il campo log
sourceProperties.properties.failedActions.lastOccurredTime è mappato al campo UDM additional.fields. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Se il valore del campo log category contiene uno dei seguenti valori, il campo log resource.resourcePathString viene mappato al campo UDM src.resource.attribute.labels[resource_path_string].
resource.resourcePathString viene mappato al campo UDM target.resource.attribute.labels[resource_path_string]. |
Riferimento alla mappatura dei campi: identificatore evento e tipo di evento
| Identificatore evento | Tipo di evento | Categoria di sicurezza |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
Le seguenti tabelle contengono i tipi di eventi UDM e il mapping dei campi UDM per le classi di risultati di Security Command Center: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION.
Categoria VULNERABILITY al tipo di evento UDM
La tabella seguente elenca la categoria VULNERABILITY e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento | Categoria di sicurezza |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Categoria ERRORE DI CONFIGURAZIONE al tipo di evento UDM
La tabella seguente elenca la categoria MISCONFIGURATION e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoria OSSERVAZIONE al tipo di evento UDM
La tabella seguente elenca la categoria OSSERVAZIONE e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento |
|---|---|
| Persistenza: chiave SSH del progetto aggiunta | SETTING_MODIFICATION |
| Persistenza: aggiungi ruolo sensibile | RESOURCE_PERMISSIONS_CHANGE |
| Impatto: istanza GPU creata | USER_RESOURCE_CREATION |
| Impatto: sono state create molte istanze | USER_RESOURCE_CREATION |
Categoria ERROR al tipo di evento UDM
La tabella seguente elenca la categoria ERROR e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoria UNSPECIFIED al tipo di evento UDM
La tabella seguente elenca la categoria UNSPECIFIED e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento | Categoria di sicurezza |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoria POSTURE_VIOLATION al tipo di evento UDM
La tabella seguente elenca la categoria POSTURE_VIOLATION e i relativi tipi di eventi UDM.
| Identificatore evento | Tipo di evento |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Riferimento per la mappatura dei campi: VULNERABILITÀ
La tabella seguente elenca i campi di log della categoria VULNERABILITY e i relativi campi UDM.
| Campo RawLog | Mappatura UDM | Logic |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| categoria | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | region estratto da resourceName utilizzando un pattern Grok e mappato al campo UDM principal.asset.location.name. |
| resourceName | principal.asset.product_object_id | asset_prod_obj_id estratto da resourceName utilizzando un pattern Grok e mappato al campo UDM principal.asset.product_object_id. |
| resourceName | principal.asset.attribute.cloud.availability_zone | zone_suffix estratto da resourceName utilizzando un pattern Grok e mappato al campo UDM principal.asset.attribute.cloud.availability_zone. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Riferimento mappatura campi: MISCONFIGURATION
La tabella seguente elenca i campi di log della categoria MISCONFIGURATION e i relativi campi UDM.
| Campo RawLog | Mappatura UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Riferimento per la mappatura dei campi: OBSERVATION
La tabella seguente elenca i campi di log della categoria OBSERVATION e i campi UDM corrispondenti.
| Campo RawLog | Mappatura UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Riferimento mappatura campi: ERRORE
La tabella seguente elenca i campi di log della categoria ERROR e i campi UDM corrispondenti.
| Campo RawLog | Mappatura UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Riferimento mappatura campi: NON SPECIFICATO
La tabella seguente elenca i campi log della categoria UNSPECIFIED e i campi UDM corrispondenti.
| Campo RawLog | Mappatura UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Riferimento mappatura campi: POSTURE_VIOLATION
La tabella seguente elenca i campi di log della categoria POSTURE_VIOLATION e i relativi campi UDM.
| Campo log | Mappatura UDM | Logic |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Se il valore del campo log finding.resourceName non è vuoto, il campo log finding.resourceName viene mappato al campo UDM target.resource.name.Il campo project_name viene estratto dal campo log finding.resourceName utilizzando il pattern Grok.Se il valore del campo project_name non è vuoto, il campo project_name viene mappato al campo UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Se il valore del campo log resourceName non è vuoto, il campo log resourceName viene mappato al campo UDM target.resource.name.Il campo project_name viene estratto dal campo log resourceName utilizzando il pattern Grok.Se il valore del campo project_name non è vuoto, il campo project_name viene mappato al campo UDM target.resource_ancestors.name. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Se il valore del campo log finding.cloudProvider contiene uno dei seguenti valori, il campo log finding.cloudProvider viene mappato al campo UDM about.resource.attribute.cloud.environment.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Se il valore del campo log cloudProvider contiene uno dei seguenti valori, il campo log cloudProvider viene mappato al campo UDM about.resource.attribute.cloud.environment.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Se il valore del campo log resource.cloudProvider contiene uno dei seguenti valori, il campo log resource.cloudProvider viene mappato al campo UDM target.resource.attribute.cloud.environment.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Common Fields: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
La seguente tabella elenca i campi comuni delle categorie SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION e i relativi campi UDM.
| Campo RawLog | Mappatura UDM | Logic |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (deprecato) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (deprecato) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (deprecato) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (deprecato) |
Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM about.labels.value. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM additional.fields.value. |
connections.destinationPort |
about.labels [connections_destination_port] (deprecato) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (deprecato) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (deprecato) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (deprecato) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Il campo UDM target.resource_ancestors.resource_type è impostato su CLUSTER. |
|
about.resource.attribute.cloud.environment |
Il campo UDM about.resource.attribute.cloud.environment è impostato su GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (deprecato) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (deprecato) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (deprecato) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (deprecato) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (deprecato) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (deprecato) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (deprecato) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (deprecato) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se il valore del campo log canonicalName non è vuoto, il finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok.Se il valore del campo log finding_id è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.Se il valore del campo log canonicalName è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se il valore del campo log message corrisponde all'espressione regolare sourceProperties.sourceId.*?customerOrganizationNumber, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM principal.resource.attribute.labels.value. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Se il valore del campo log access.principalSubject corrisponde all'espressione regolare serviceAccount, il campo UDM principal.user.account_type è impostato su SERVICE_ACCOUNT_TYPE.Altrimenti, se il valore del campo log access.principalSubject corrisponde all'espressione regolare user, il campo UDM principal.user.account_type è impostato su CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Se il valore del campo log access.principalEmail non è vuoto e il valore del campo log access.principalEmail corrisponde all'espressione regolare ^.+@.+$, il campo log access.principalEmail viene mappato al campo UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.userid |
Se il valore del campo log access.principalEmail non è vuoto e il valore del campo log access.principalEmail non corrisponde all'espressione regolare ^.+@.+$, il campo log access.principalEmail viene mappato al campo UDM principal.user.userid. |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Se il valore del campo log message corrisponde all'espressione regolare contacts.?security, il campo UDM security_result.about.user.attribute.roles.name è impostato su security.Se il valore del campo log message corrisponde all'espressione regolare contacts.?technical, il campo UDM security_result.about.user.attribute.roles.name è impostato su Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Se il valore del campo log state è uguale a ACTIVE, il campo UDM security_result.alert_state è impostato su ALERTING.Altrimenti, il campo UDM security_result.alert_state è impostato su NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
Il campo di log findingClass - category è mappato al campo UDM security_result.catgory_details. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteInitiator viene mappato al campo UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteUpdateTimer viene mappato al campo UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se il valore del campo log category è uguale a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, il campo UDM security_result.detection_fields.key è impostato su sourceProperties_contextUris_relatedFindingUri_url e il campo log sourceProperties.contextUris.relatedFindingUri.url è mappato al campo UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.url viene mappato al campo UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.contextUris.workspacesUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.workspacesUri.url viene mappato al campo UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se il valore del campo log sourceProperties.detectionPriority è uguale a HIGH, il campo UDM security_result.priority è impostato su HIGH_PRIORITY.Altrimenti, se il valore del campo log sourceProperties.detectionPriority è uguale a MEDIUM, il campo UDM security_result.priority è impostato su MEDIUM_PRIORITY.Altrimenti, se il valore del campo log sourceProperties.detectionPriority è uguale a LOW, il campo UDM security_result.priority è impostato su LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.query viene mappato al campo UDM src.process.command_line.Altrimenti, il campo log database.query viene mappato al campo UDM target.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolderDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.Altrimenti, il campo log resource.folders.resourceFolderDisplayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.folders.resourceFolderDisplay viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.Altrimenti, il campo log resource.gcpMetadata.folders.resourceFolderDisplay viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.folders.resourceFolder viene mappato al campo UDM src.resource_ancestors.name.Altrimenti, il campo log resource.gcpMetadata.folders.resourceFolder viene mappato al campo UDM target.resource_ancestors.name. |
resource.organization |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.organization viene mappato al campo UDM src.resource_ancestors.name.Altrimenti, il campo log resource.organization viene mappato al campo UDM target.resource_ancestors.name. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.organization viene mappato al campo UDM src.resource_ancestors.name.Altrimenti, il campo log resource.gcpMetadata.organization viene mappato al campo UDM target.resource_ancestors.name. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.parentDisplayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.parentDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.gcpMetadata.parentDisplayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.parentName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.parent viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.gcpMetadata.parent viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.projectDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.projectDisplayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.gcpMetadata.projectDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.Altrimenti, il campo log resource.gcpMetadata.projectDisplayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.displayName viene mappato al campo UDM src.resource.attribute.labels.value. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo UDM src.resource.attribute.labels.key viene impostato su grantees e il campo log database.grantees viene mappato al campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value.Altrimenti, il campo log resource.displayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value.Altrimenti, il campo log resource.display_name viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value.Altrimenti, il campo log resource.displayName viene mappato al campo UDM target.resource.attribute.labels.value. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value.Altrimenti, il campo log resource.display_name viene mappato al campo UDM target.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.sources.components viene mappato al campo UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log resourceName viene mappato al campo UDM src.resource.name. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log access.serviceName viene mappato al campo UDM target.application. |
access.methodName |
target.labels [access_methodName] (deprecato) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (deprecato) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (deprecato) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (deprecato) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (deprecato) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (deprecato) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (deprecato) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (deprecato) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (deprecato) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (deprecato) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (deprecato) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (deprecato) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (deprecato) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (deprecato) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId viene mappato al campo UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.zone viene mappato al campo UDM target.resource.attribute.cloud.availability_zone. |
canonicalName |
metadata.product_log_id |
Il valore finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok.Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM src.resource.attribute.labels.key/value [finding_id]. Se il valore del campo log category è uguale a uno dei seguenti valori, finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
src.resource.product_object_id |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.product_object_id. Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.attribute.labels.key/value [source_id]. Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM target.resource.attribute.labels.key/value [finding_id]. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.product_object_id |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.product_object_id. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.attribute.labels.key/value [source_id]. Se il valore del campo log category non è uguale a nessuno dei seguenti valori, il source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.targets.components viene mappato al campo UDM target.resource.attribute.labels.key/value. |
resourceName |
target.resource.name |
Se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name.Altrimenti, se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource.resource_type viene impostato su VIRTUAL_MACHINE.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.target.name viene mappato al campo UDM target.resource.name.Altrimenti, il campo log resourceName viene mappato al campo UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RegionCode, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.location.country_or_region.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RemoteHost, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.ip.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Se il valore del campo log sourceProperties.Header_Signature.name è uguale a UserAgent, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM network.http.user_agent.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RequestUriPath, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.url.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.compromised_account viene mappato al campo UDM principal.user.userid e il campo UDM principal.user.account_type viene impostato su SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.project_identifier viene mappato al campo UDM principal.resource.product_object_id.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.private_key_identifier viene mappato al campo UDM principal.user.attribute.labels.value.
|
sourceProperties.action_taken |
principal.labels [action_taken] (deprecato) |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.action_taken viene mappato al campo UDM principal.labels.value.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.action_taken viene mappato al campo UDM additional.fields.value.
|
sourceProperties.finding_type |
principal.labels [finding_type] (deprecato) |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.finding_type viene mappato al campo UDM principal.labels.value.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.finding_type viene mappato al campo UDM additional.fields.value.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.url viene mappato al campo UDM principal.user.attribute.labels.value.
|
sourceProperties.security_result.summary |
security_result.summary |
Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.security_result.summary viene mappato al campo UDM security_result.summary.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
Passaggi successivi
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.