Recolha resultados do Security Command Center
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do Security Command Center configurando o Security Command Center e carregando as deteções para o Google Security Operations. Este documento também lista os eventos suportados.
Para mais informações, consulte os artigos Ingestão de dados no Google Security Operations e Exportar resultados do Security Command Center para o Google Security Operations. Uma implementação típica consiste no Security Command Center e no feed do Google Security Operations configurado para enviar registos para o Google Security Operations. Cada implementação do cliente pode ser diferente e mais complexa.
A implementação contém os seguintes componentes:
Google Cloud: o sistema a ser monitorizado no qual o Security Command Center está instalado.
Resultados da deteção de ameaças de eventos do Security Command Center: recolhe informações da origem de dados e gera resultados.
Google Security Operations: retém e analisa os registos do Security Command Center.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador do Security Command Center com as seguintes etiquetas de carregamento:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configure o Security Command Center e Google Cloud para enviar resultados para o Google Security Operations
Certifique-se de que todos os sistemas na implementação estão configurados no fuso horário UTC.
Ative o carregamento de conclusões do Security Command Center.
Resultados da Deteção de ameaças de eventos suportados
Esta secção lista as conclusões da Deteção de ameaças de eventos suportadas. Para obter informações sobre as regras e as conclusões da Deteção de ameaças de eventos do Security Command Center, consulte o artigo Regras de Deteção de ameaças de eventos.
| Nome da descoberta | Descrição |
|---|---|
| Análise ativa: Log4j vulnerável a RCE | Deteta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ocultados que foram iniciadas por scanners de vulnerabilidades do Log4j suportados. |
| Força bruta: SSH | Deteção de força bruta bem-sucedida de SSH num anfitrião. |
| Acesso a credenciais: membro externo adicionado a um grupo privilegiado | Deteta quando um membro externo é adicionado a um Grupo Google privilegiado (um grupo ao qual foram concedidas funções ou autorizações confidenciais). Uma descoberta só é gerada se o grupo ainda não contiver outros membros externos da mesma organização que o membro adicionado recentemente. Para saber mais, consulte o artigo Alterações inseguras aos Grupos Google. |
| Acesso a credenciais: grupo privilegiado aberto ao público | Deteta quando um grupo Google privilegiado (um grupo ao qual foram concedidas funções ou autorizações confidenciais) é alterado para ser acessível ao público em geral. Para saber mais, consulte o artigo Alterações inseguras aos Grupos Google. |
| Acesso a credenciais: função sensível concedida a grupo híbrido | Deteta quando são concedidas funções confidenciais a um grupo Google com membros externos. Para saber mais, consulte o artigo Alterações inseguras aos Grupos Google. |
| Evasão de defesa: modificar o VPC Service Controls | Deteta uma alteração a um perímetro do VPC Service Controls existente que levaria a uma redução na proteção oferecida por esse perímetro. |
| Discovery: Can get sensitive Kubernetes object checkPreview | Um ator malicioso tentou determinar que objetos confidenciais no Google Kubernetes Engine (GKE) pode consultar, usando o comando kubectl auth can-i get. |
| Deteção: auto investigação da conta de serviço | Deteção de uma credencial de conta de serviço de gestão de identidade e acesso (IAM) que é usada para investigar as funções e as autorizações associadas a essa mesma conta de serviço. |
| Evasão: acesso a partir de um proxy de anonimização | Deteção de Google Cloud modificações de serviços originadas de endereços IP de proxy anónimos, como endereços IP do Tor. |
| Exfiltração: exfiltração de dados do BigQuery | Deteta os seguintes cenários:
|
| Exfiltração: extração de dados do BigQuery | Deteta os seguintes cenários:
|
| Exfiltração: dados do BigQuery para o Google Drive | Deteta os seguintes cenários:
Um recurso do BigQuery pertencente à organização protegida é guardado, através de operações de extração, numa pasta do Google Drive. |
| Exfiltração: exfiltração de dados do Cloud SQL | Deteta os seguintes cenários:
|
| Exfiltração: restauro da cópia de segurança do Cloud SQL para uma organização externa | Deteta quando a cópia de segurança de uma instância do Cloud SQL é restaurada para uma instância fora da organização. |
| Exfiltração: concessão com privilégios excessivos do SQL do Cloud SQL | Deteta quando um utilizador ou uma função do Cloud SQL Postgres lhe foram concedidos todos os privilégios numa base de dados ou em todas as tabelas, procedimentos ou funções num esquema. |
| Prejudicar defesas: autenticação forte desativada | A validação em dois passos foi desativada para a organização. |
| Impair Defenses: Two Step Verification Disabled | Um utilizador desativou a validação em dois passos. |
| Acesso inicial: conta desativada roubada | A conta de um utilizador foi suspensa devido a atividade suspeita. |
| Acesso inicial: fuga de palavras-passe desativada | A conta de um utilizador está desativada porque foi detetada uma fuga de palavra-passe. |
| Acesso inicial: ataque baseado no governo | Os atacantes apoiados por um governo podem ter tentado comprometer uma conta de utilizador ou um computador. |
| Acesso inicial: tentativa de comprometimento do Log4j | Deteta pesquisas da Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Estas pesquisas podem indicar tentativas de exploração do Log4Shell. Estas conclusões têm uma gravidade baixa, porque indicam apenas uma deteção ou uma tentativa de exploração, e não uma vulnerabilidade ou um comprometimento. |
| Acesso inicial: início de sessão suspeito bloqueado | Foi detetado e bloqueado um início de sessão suspeito na conta de um utilizador. |
| Software malicioso Log4j: domínio incorreto | Deteção de tráfego de exploração de Log4j com base numa ligação ou numa pesquisa de um domínio conhecido usado em ataques Log4j. |
| Software malicioso Log4j: IP incorreto | Deteção de tráfego de exploração do Log4j com base numa ligação a um endereço IP conhecido usado em ataques do Log4j. |
| Software malicioso: domínio inválido | Deteção de software malicioso com base numa ligação ou numa pesquisa de um domínio conhecido como prejudicial. |
| Software malicioso: IP inválido | Deteção de software malicioso com base numa ligação a um endereço IP conhecido como mau. |
| Software malicioso: domínio incorreto de mineração de criptomoedas | Deteção de mineração de criptomoedas com base numa ligação ou numa pesquisa de um domínio de mineração de criptomoedas conhecido. |
| Software malicioso: IP incorreto de mineração de criptomoedas | Deteção de mineração de criptomoedas com base numa ligação a um endereço IP de mineração conhecido. |
| DoS de saída | Deteção de tráfego de negação de serviço de saída. |
| Persistência: o administrador do Compute Engine adicionou uma chave SSH | Deteção de uma modificação ao valor da chave SSH dos metadados da instância do Compute Engine numa instância estabelecida (com mais de 1 semana). |
| Persistência: script de arranque adicionado pelo administrador do Compute Engine | Deteção de uma modificação ao valor do script de arranque dos metadados da instância do Compute Engine numa instância estabelecida (com mais de 1 semana). |
| Persistência: concessão anómala de IAM | Deteção de privilégios concedidos a utilizadores e contas de serviço do IAM que não são membros da organização. Este detetor usa as políticas da IAM existentes de uma organização como contexto. Se ocorrer uma concessão de IAM sensível a um membro externo e existirem menos de três políticas de IAM semelhantes, este detetor gera uma descoberta. |
| Persistência: novo método da API | Deteção de utilização anómala dos serviços do Google Cloud por contas de serviço da IAM. |
| Persistência: nova geografia | Deteção de contas de serviço e utilizadores da IAM que acedem ao Google Cloud a partir de localizações anómalas, com base na geolocalização dos endereços IP de pedido. |
| Persistência: agente do novo utilizador | Deteção de contas de serviço do IAM que acedem ao Google Cloud a partir de agentes do utilizador anómalos ou suspeitos. |
| Persistência: ativar/desativar ativação de SSO | A definição Ativar SSO (Início de sessão único) na conta de administrador foi desativada. |
| Persistência: definições de SSO alteradas | As definições de SSO da conta de administrador foram alteradas. |
| Escalamento de privilégios: alterações a objetos RBAC do Kubernetes confidenciais (pré-visualização) | Para aumentar o privilégio, um ator malicioso tentou modificar objetos ClusterRole e ClusterRoleBinding cluster-admin através de um pedido PUT ou PATCH. |
| Escalamento de privilégios: crie um CSR do Kubernetes para o certificado principal | Um interveniente potencialmente malicioso criou um pedido de assinatura de certificado (CSR) principal do Kubernetes, que lhe dá acesso de administrador do cluster. |
| Escalamento de privilégios: criação de associações sensíveis do Kubernetes | Um interveniente malicioso tentou criar novos objetos RoleBinding ou ClusterRoleBinding de cluster-admin para aumentar o respetivo privilégio. |
| Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview | Um interveniente malicioso consultou um pedido de assinatura de certificado (CSR) com o comando kubectl, usando credenciais de arranque comprometidas. |
| Escalamento de privilégios: lançamento de contentor Kubernetes privilegiado (pré-visualização) | Um interveniente malicioso criou pods que contêm contentores privilegiados ou contentores com capacidades de escalamento de privilégios.
Um contentor privilegiado tem o campo privileged definido como verdadeiro. Um contentor com capacidades de escalamento de privilégios tem o campo allowPrivilegeEscalation definido como verdadeiro. |
| Acesso inicial: chave de conta de serviço inativa criada | Deteta eventos em que é criada uma chave para uma conta de serviço gerida pelo utilizador inativa. Neste contexto, uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias. |
| Árvore de processos | O detetor verifica a árvore de processos de todos os processos em execução. Se um processo for um ficheiro binário de shell, o detetor verifica o respetivo processo principal. Se o processo principal for um ficheiro binário que não deve gerar um processo de shell, o detetor aciona uma descoberta. |
| Unexpected Child Shell | O detetor verifica a árvore de processos de todos os processos em execução. Se um processo for um ficheiro binário de shell, o detetor verifica o respetivo processo principal. Se o processo principal for um ficheiro binário que não deve gerar um processo de shell, o detetor aciona uma descoberta. |
| Execução: Added Malicious Binary Executed | O detetor procura um ficheiro binário em execução que não fazia parte da imagem do contentor original e foi identificado como malicioso com base em informações sobre ameaças. |
| Execução: ficheiro binário malicioso modificado executado | O detetor procura um ficheiro binário que está a ser executado e que foi originalmente incluído na imagem do contentor, mas que foi modificado durante o tempo de execução e identificado como malicioso com base em informações sobre ameaças. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity | Deteta quando é encontrada uma solicitação delegada de vários passos anómala para uma atividade administrativa. |
| Conta de acesso de emergência usada: break_glass_account | Deteta a utilização de uma conta de acesso de emergência (plano de último recurso) |
| Domínio incorreto configurável: APT29_Domains | Deteta uma ligação a um nome de domínio especificado |
| Unexpected Role Grant: Forbidden roles | Deteta quando uma função especificada é concedida a um utilizador |
| IP incorreto configurável | Deteta uma ligação a um endereço IP especificado |
| Tipo de instância do Compute Engine inesperado | Deteta a criação de instâncias do Compute Engine que não correspondem a um tipo ou a uma configuração de instância especificados. |
| Imagem de origem do Compute Engine inesperada | Deteta a criação de uma instância do Compute Engine com uma imagem ou uma família de imagens que não corresponde a uma lista especificada |
| Região do Compute Engine inesperada | Deteta a criação de uma instância do Compute Engine numa região que não está numa lista especificada. |
| Função personalizada com autorização proibida | Deteta quando uma função personalizada com qualquer uma das autorizações de IAM especificadas é concedida a um principal. |
| Chamada da API Cloud inesperada | Deteta quando um principal especificado chama um método especificado contra um recurso especificado. Uma descoberta só é gerada se todas as expressões regulares forem correspondentes numa única entrada de registo. |
Resultados de GCP_SECURITYCENTER_ERROR suportados
Pode encontrar o mapeamento de UDM na tabela Referência de mapeamento de campos: ERRO.
| Nome da descoberta | Descrição |
|---|---|
| VPC_SC_RESTRICTION | O Security Health Analytics não consegue produzir determinadas conclusões para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | O projeto configurado para exportação contínua para o Cloud Logging está indisponível. O Security Command Center não pode enviar resultados para o Logging. |
| API_DISABLED | Uma API obrigatória está desativada para o projeto. O serviço desativado não pode enviar resultados para o Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | Não é possível ativar a Deteção de ameaças de contentores no cluster porque não é possível obter (transferir) uma imagem de contentor necessária de gcr.io, o anfitrião de imagens do Container Registry. A imagem é necessária para implementar o DaemonSet de deteção de ameaças de contentores que a deteção de ameaças de contentores requer. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Não é possível ativar a Deteção de ameaças de contentores num cluster do Kubernetes. Um controlador de admissão de terceiros está a impedir a implementação de um objeto Kubernetes DaemonSet que a Deteção de ameaças de contentores requer.
Quando visualizados na Google Cloud consola, os detalhes da deteção incluem a mensagem de erro devolvida pelo Google Kubernetes Engine quando a Deteção de ameaças de contentores tentou implementar um objeto DaemonSet da Deteção de ameaças de contentores. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Uma conta de serviço não tem as autorizações necessárias para a deteção de ameaças de contentores. A Deteção de ameaças de contentores pode deixar de funcionar corretamente porque não é possível ativar, atualizar nem desativar a instrumentação de deteção. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A Deteção de ameaças de contentores não consegue gerar resultados para um cluster do Google Kubernetes Engine porque a conta de serviço predefinida do GKE no cluster não tem autorizações. Isto impede que a Deteção de ameaças de contentores seja ativada com êxito no cluster. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A conta de serviço do Security Command Center não tem as autorizações necessárias para funcionar corretamente. Não são produzidas conclusões. |
Resultados suportados de GCP_SECURITYCENTER_OBSERVATION
Pode encontrar o mapeamento de UDM na tabela Referência de mapeamento de campos: OBSERVATION.
| Nome da descoberta | Descrição |
|---|---|
| Persistência: chave SSH do projeto adicionada | Foi criada uma chave SSH ao nível do projeto num projeto com mais de 10 dias. |
| Persistência: adicionar função sensível | Foi concedida uma função do IAM ao nível da organização sensível ou com privilégios elevados numa organização com mais de 10 dias. |
Resultados GCP_SECURITYCENTER_UNSPECIFIED suportados
Pode encontrar o mapeamento de UDM na tabela Referência de mapeamento de campos: UNSPECIFIED.
| Nome da descoberta | Descrição |
|---|---|
| OPEN_FIREWALL | Uma firewall está configurada para estar aberta ao acesso público. |
Resultados suportados de GCP_SECURITYCENTER_VULNERABILITY
Pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campos: VULNERABILIDADE.
| Nome da descoberta | Descrição |
|---|---|
| DISK_CSEK_DISABLED | Os discos nesta VM não estão encriptados com chaves de encriptação fornecidas pelos clientes (CSEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Detector de casos especiais. |
| ALPHA_CLUSTER_ENABLED | As funcionalidades do cluster alfa estão ativadas para um cluster do GKE. |
| AUTO_REPAIR_DISABLED | A funcionalidade de reparação automática de um cluster do GKE, que mantém os nós num estado de funcionamento saudável, está desativada. |
| AUTO_UPGRADE_DISABLED | A funcionalidade de atualização automática de um cluster do GKE, que mantém os clusters e os node pools na versão estável mais recente do Kubernetes, está desativada. |
| CLUSTER_SHIELDED_NODES_DISABLED | Os nós do GKE protegidos não estão ativados para um cluster |
| COS_NOT_USED | As VMs do Compute Engine não estão a usar o SO otimizado para contentores concebido para executar contentores Docker de forma Google Cloud segura. |
| INTEGRITY_MONITORING_DISABLED | A monitorização da integridade está desativada para um cluster do GKE. |
| IP_ALIAS_DISABLED | Foi criado um cluster do GKE com intervalos de IP de alias desativados. |
| LEGACY_METADATA_ENABLED | Os metadados antigos estão ativados nos clusters do GKE. |
| RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está subscrito num canal de lançamento. |
| DATAPROC_IMAGE_OUTDATED | Foi criado um cluster do Dataproc com uma versão da imagem do Dataproc afetada por vulnerabilidades de segurança na utilidade Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). |
| PUBLIC_DATASET | Um conjunto de dados está configurado para estar aberto ao acesso público. |
| DNSSEC_DISABLED | As DNSSEC estão desativadas para zonas do Cloud DNS. |
| RSASHA1_FOR_SIGNING | O RSASHA1 é usado para a assinatura de chaves em zonas DNS do Google Cloud. |
| REDIS_ROLE_USED_ON_ORG | É atribuída uma função do IAM do Redis ao nível da organização ou da pasta. |
| KMS_PUBLIC_KEY | Uma chave criptográfica do Cloud KMS é acessível publicamente. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | O indicador da base de dados de autenticação da base de dados contida para uma instância do Cloud SQL para SQL Server não está definido como desativado. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag de base de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como desativada. |
| SQL_EXTERNAL_SCRIPTS_ENABLED | O indicador da base de dados de scripts externos ativados para uma instância do Cloud SQL para SQL Server não está definido como desativado. |
| SQL_LOCAL_INFILE | A flag da base de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como desativada. |
| SQL_LOG_ERROR_VERBOSITY | O indicador da base de dados log_error_verbosity para uma instância do Cloud SQL para PostgreSQL não está definido como predefinição ou mais restrito. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | A flag da base de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1". |
| SQL_LOG_MIN_ERROR_STATEMENT | O indicador da base de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definido corretamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | O sinalizador da base de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado. |
| SQL_LOG_MIN_MESSAGES | A flag da base de dados log_min_messages para uma instância do Cloud SQL para PostgreSQL não está definida como aviso. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | O indicador da base de dados log_executor_status para uma instância do Cloud SQL para PostgreSQL não está definido como desativado. |
| SQL_LOG_HOSTNAME_ENABLED | O parâmetro log_hostname da base de dados para uma instância do Cloud SQL para PostgreSQL não está definido como desativado. |
| SQL_LOG_PARSER_STATS_ENABLED | O indicador da base de dados log_parser_stats para uma instância do Cloud SQL para PostgreSQL não está definido como desativado. |
| SQL_LOG_PLANNER_STATS_ENABLED | O indicador da base de dados log_planner_stats para uma instância do Cloud SQL para PostgreSQL não está definido como desativado. |
| SQL_LOG_STATEMENT_STATS_ENABLED | A flag da base de dados log_statement_stats para uma instância do Cloud SQL para PostgreSQL não está definida como desativada. |
| SQL_LOG_TEMP_FILES | O indicador da base de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definido como "0". |
| SQL_REMOTE_ACCESS_ENABLED | A flag da base de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está definida como desativada. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | O indicador da base de dados skip_show_database para uma instância do Cloud SQL para MySQL não está definido como ativado. |
| SQL_TRACE_FLAG_3625 | O indicador da base de dados 3625 (trace flag) para uma instância do Cloud SQL para SQL Server não está definido como ativado. |
| SQL_USER_CONNECTIONS_CONFIGURED | O indicador da base de dados de ligações de utilizadores para uma instância do Cloud SQL para SQL Server está configurado. |
| SQL_USER_OPTIONS_CONFIGURED | A opção de utilizador database flag para uma instância do Cloud SQL para SQL Server está configurada. |
| SQL_WEAK_ROOT_PASSWORD | Uma base de dados do Cloud SQL tem uma palavra-passe fraca configurada para a conta de raiz. Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| PUBLIC_LOG_BUCKET | Um contentor de armazenamento usado como um destino de registos é acessível publicamente. |
| ACCESSIBLE_GIT_REPOSITORY | Um repositório Git é exposto publicamente. Para resolver esta descoberta, remova o acesso público não intencional ao repositório GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Um repositório SVN é exposto publicamente. Para resolver esta descoberta, remova o acesso público não intencional ao repositório SVN. |
| ACCESSIBLE_ENV_FILE | Um ficheiro ENV é exposto publicamente. Para resolver esta descoberta, remova o acesso público não intencional ao ficheiro ENV. |
| CACHEABLE_PASSWORD_INPUT | As palavras-passe introduzidas na aplicação Web podem ser colocadas em cache numa cache do navegador normal em vez de num armazenamento seguro de palavras-passe. |
| CLEAR_TEXT_PASSWORD | As palavras-passe estão a ser transmitidas em texto não codificado e podem ser intercetadas. Para resolver esta descoberta, encriptar a palavra-passe transmitida através da rede. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Um ponto final HTTP ou HTTPS de origem cruzada valida apenas um sufixo do cabeçalho do pedido de origem antes de o refletir no cabeçalho da resposta Access-Control-Allow-Origin. Para resolver esta descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de o refletir no cabeçalho de resposta Access-Control-Allow-Origin. Para carateres universais de subdomínio, adicione um ponto antes do domínio raiz, por exemplo, .endsWith("".google.com""). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Um ponto final HTTP ou HTTPS de origem cruzada valida apenas um prefixo do cabeçalho do pedido de origem antes de o refletir no cabeçalho da resposta Access-Control-Allow-Origin. Para resolver esta descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de o refletir no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals("".google.com""). |
| INVALID_CONTENT_TYPE | Foi carregado um recurso que não corresponde ao cabeçalho HTTP Tipo de conteúdo da resposta. Para resolver esta descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto. |
| INVALID_HEADER | Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver esta descoberta, defina corretamente os cabeçalhos de segurança HTTP. |
| MISMATCHING_SECURITY_HEADER_VALUES | Um cabeçalho de segurança tem valores duplicados ou em conflito, o que resulta num comportamento indefinido. Para resolver esta descoberta, defina corretamente os cabeçalhos de segurança HTTP. |
| MISSPELLED_SECURITY_HEADER_NAME | Um cabeçalho de segurança tem um erro ortográfico e é ignorado. Para resolver esta descoberta, defina corretamente os cabeçalhos de segurança HTTP. |
| MIXED_CONTENT | Os recursos estão a ser publicados através de HTTP numa página HTTPS. Para resolver esta descoberta, certifique-se de que todos os recursos são publicados através de HTTPS. |
| OUTDATED_LIBRARY | Foi detetada uma biblioteca com vulnerabilidades conhecidas. Para resolver esta descoberta, atualize as bibliotecas para uma versão mais recente. |
| SERVER_SIDE_REQUEST_FORGERY | Foi detetada uma vulnerabilidade de falsificação de pedidos do lado do servidor (SSRF). Para resolver esta descoberta, use uma lista de autorizações para limitar os domínios e os endereços IP para os quais a aplicação Web pode fazer pedidos. |
| SESSION_ID_LEAK | Quando faz um pedido entre domínios, a aplicação Web inclui o identificador de sessão do utilizador no respetivo cabeçalho do pedido Referer. Esta vulnerabilidade dá ao domínio de receção acesso ao identificador de sessão, que pode ser usado para roubar a identidade ou identificar o utilizador de forma exclusiva. |
| SQL_INJECTION | Foi detetada uma potencial vulnerabilidade de injeção SQL. Para resolver esta descoberta, use consultas parametrizadas para impedir que as entradas do utilizador influenciem a estrutura da consulta SQL. |
| STRUTS_INSECURE_DESERIALIZATION | Foi detetada a utilização de uma versão vulnerável do Apache Struts. Para resolver esta descoberta, atualize o Apache Struts para a versão mais recente. |
| XSS | Um campo nesta aplicação Web está vulnerável a um ataque de cross-site scripting (XSS). Para resolver esta descoberta, valide e escape os dados fornecidos pelo utilizador não fidedignos. |
| XSS_ANGULAR_CALLBACK | Uma string fornecida pelo utilizador não tem carateres de escape e o AngularJS pode interpolá-la. Para resolver esta descoberta, valide e escape os dados fornecidos pelo utilizador não fidedignos processados pela framework Angular. |
| XSS_ERROR | Um campo nesta aplicação Web está vulnerável a um ataque de cross-site scripting. Para resolver esta descoberta, valide e escape os dados fornecidos pelo utilizador não fidedignos. |
| XXE_REFLECTED_FILE_LEAKAGE | Foi detetada uma vulnerabilidade de entidade externa XML (XXE). Esta vulnerabilidade pode fazer com que a aplicação Web divulgue um ficheiro no anfitrião. Para resolver esta descoberta, configure os seus analisadores XML para não permitir entidades externas. |
| BASIC_AUTHENTICATION_ENABLED | A autenticação de certificados de cliente ou IAM deve estar ativada nos clusters do Kubernetes. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Os clusters do Kubernetes devem ser criados com o certificado de cliente ativado. |
| LABELS_NOT_USED | As etiquetas podem ser usadas para discriminar as informações de faturação. |
| PUBLIC_STORAGE_OBJECT | A LCA do objeto de armazenamento não deve conceder acesso a todos os utilizadores. |
| SQL_BROAD_ROOT_LOGIN | O acesso de raiz a uma base de dados SQL deve ser limitado a IPs fidedignos na lista de autorizações. |
| WEAK_CREDENTIALS | Este detetor verifica a existência de credenciais fracas através de métodos de força bruta do ncrack.
Serviços suportados: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
| ELASTICSEARCH_API_EXPOSED | A API Elasticsearch permite que os autores de chamadas realizem consultas arbitrárias, escrevam e executem scripts, e adicionem documentos adicionais ao serviço. |
| EXPOSED_GRAFANA_ENDPOINT | No Grafana 8.0.0 a 8.3.0, os utilizadores podem aceder sem autenticação a um ponto final que tem uma vulnerabilidade de percurso de diretório que permite que qualquer utilizador leia qualquer ficheiro no servidor sem autenticação. Para mais informações, consulte o artigo CVE-2021-43798. |
| EXPOSED_METABASE | As versões x.40.0 a x.40.4 do Metabase, uma plataforma de estatísticas de dados de código aberto, contêm uma vulnerabilidade no suporte de mapas GeoJSON personalizados e uma potencial inclusão de ficheiros locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte o artigo CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Este detetor verifica se os pontos finais do atuador sensíveis das aplicações Spring Boot estão expostos. Alguns dos pontos finais predefinidos, como /heapdump, podem expor informações confidenciais. Outros pontos finais, como /env, podem levar à execução remota de código. Atualmente, apenas é verificado o /heapdump. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Este detetor verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster Hadoop, está exposta e permite a execução de código não autenticado. |
| JAVA_JMX_RMI_EXPOSED | A Java Management Extension (JMX) permite a monitorização e os diagnósticos remotos para aplicações Java. A execução do JMX com um ponto final de invocação de método remoto não protegido permite que quaisquer utilizadores remotos criem um MBean javax.management.loading.MLet e o usem para criar novos MBeans a partir de URLs arbitrários. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Este detetor verifica se um Jupyter Notebook não autenticado está exposto. O Jupyter permite a execução remota de código por predefinição na máquina anfitriã. Um bloco de notas do Jupyter não autenticado coloca a VM de alojamento em risco de execução remota de código. |
| KUBERNETES_API_EXPOSED | A API Kubernetes está exposta e pode ser acedida por autores de chamadas não autenticados. Isto permite a execução de código arbitrário no cluster do Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Este detetor verifica se uma instalação do WordPress está inacabada. Uma instalação do WordPress inacabada expõe a página /wp-admin/install.php, o que permite que um atacante defina a palavra-passe de administrador e, possivelmente, comprometa o sistema. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Este detetor verifica a existência de uma instância do Jenkins não autenticada através do envio de um ping de sondagem para o ponto final /view/all/newJob como visitante anónimo. Uma instância do Jenkins autenticada mostra o formulário createItem, que permite a criação de tarefas arbitrárias que podem levar à execução de código remoto. |
| APACHE_HTTPD_RCE | Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite a um atacante usar um ataque de travessia de caminho para mapear URLs para ficheiros fora da raiz do documento esperada e ver a origem de ficheiros interpretados, como scripts CGI. Sabe-se que este problema é explorado em situações reais. Este problema afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre esta vulnerabilidade, consulte: |
| APACHE_HTTPD_SSRF | Os atacantes podem criar um URI para o servidor Web Apache que faz com que o mod_proxy encaminhe o pedido para um servidor de origem escolhido pelo atacante. Este problema afeta o servidor HTTP Apache 2.4.48 e versões anteriores. Para mais informações sobre esta vulnerabilidade, consulte: |
| CONSUL_RCE | Os atacantes podem executar código arbitrário num servidor Consul porque a instância do Consul está configurada com -enable-script-checks definido como verdadeiro e a API HTTP do Consul não está protegida e é acessível através da rede. No Consul 0.9.0 e versões anteriores, as verificações de scripts estão ativadas por predefinição. Para mais informações, consulte o artigo Proteger o Consul contra o risco de execução de código remoto em configurações específicas. Para verificar esta vulnerabilidade, a Deteção rápida de vulnerabilidades regista um serviço na instância do Consul através do ponto final REST /v1/health/service, que executa uma das seguintes ações: * Um comando curl para um servidor remoto fora da rede. Um atacante pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. Em seguida, a Deteção rápida de vulnerabilidades valida o resultado do comando através do ponto final REST /v1/health/service. * Após a verificação, a Deteção rápida de vulnerabilidades limpa e anula o registo do serviço através do ponto final REST /v1/agent/service/deregister/. |
| DRUID_RCE | O Apache Druid inclui a capacidade de executar código JavaScript fornecido pelo utilizador incorporado em vários tipos de pedidos. Esta funcionalidade destina-se a ser utilizada em ambientes de elevada confiança e está desativada por predefinição. No entanto, no Druid 0.20.0 e anterior, é possível que um utilizador autenticado envie um pedido especialmente criado que force o Druid a executar código JavaScript fornecido pelo utilizador para esse pedido, independentemente da configuração do servidor. Isto pode ser usado para executar código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte o detalhe do CVE-2021-25646. |
| DRUPAL_RCE | As versões do Drupal anteriores a 7.58, 8.x anteriores a 8.3.9, 8.4.x anteriores a 8.4.6 e 8.5.x anteriores a 8.5.1 são vulneráveis à execução de código remoto em pedidos AJAX da API Form. As versões do Drupal 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução de código remoto quando o módulo de serviço Web RESTful ou a JSON:API está ativado. Esta vulnerabilidade pode ser explorada por um atacante não autenticado através de um pedido POST personalizado. |
| FLINK_FILE_DISCLOSURE | Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que os atacantes leiam qualquer ficheiro no sistema de ficheiros local do JobManager através da interface REST do processo JobManager. O acesso está restrito a ficheiros acessíveis pelo processo JobManager. |
| GITLAB_RCE | Nas versões 11.9 e posteriores do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os ficheiros de imagem transmitidos a um analisador de ficheiros. Um atacante pode explorar esta vulnerabilidade para a execução de comandos remotos. |
| GoCD_RCE | No GoCD 21.2.0 e versões anteriores, existe um ponto final que pode ser acedido sem autenticação. Este ponto final tem uma vulnerabilidade de atravessamento de diretórios que permite a um utilizador ler qualquer ficheiro no servidor sem autenticação. |
| JENKINS_RCE | As versões 2.56 e anteriores do Jenkins, bem como a versão 2.46.1 LTS e anteriores, são vulneráveis à execução de código remoto. Esta vulnerabilidade pode ser acionada por um atacante não autenticado que use um objeto Java serializado malicioso. |
| JOOMLA_RCE | As versões 1.5.x, 2.x e 3.x do Joomla anteriores à 3.4.6 são vulneráveis à execução de código remoto. Esta vulnerabilidade pode ser acionada com um cabeçalho criado que contenha objetos PHP serializados. As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Esta vulnerabilidade pode ser acionada através do envio de um pedido POST que contenha um objeto PHP serializado criado. |
| LOG4J_RCE | No Apache Log4j2 2.14.1 e anterior, as funcionalidades JNDI usadas em configurações, mensagens de registo e parâmetros não protegem contra LDAP controlado por atacantes e outros pontos finais relacionados com JNDI. Para mais informações, consulte o artigo CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | O MantisBT até à versão 2.3.0 permite a reposição arbitrária da palavra-passe e o acesso de administrador não autenticado através do fornecimento de um valor confirm_hash vazio a verify.php. |
| OGNL_RCE | As instâncias do Confluence Server e Data Center contêm uma vulnerabilidade de injeção de OGNL que permite a um atacante não autenticado executar código arbitrário. Para mais informações, consulte o artigo CVE-2021-26084. |
| OPENAM_RCE | O servidor OpenAM 14.6.2 e anterior, e o servidor ForgeRock AM 6.5.3 e anterior, têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não requer autenticação e a execução de código remoto pode ser acionada através do envio de um único pedido /ccversion/* criado para o servidor. A vulnerabilidade existe devido à utilização da aplicação Sun ONE. Para mais informações, consulte o artigo CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Determinadas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Esta vulnerabilidade facilmente explorável permite que um atacante não autenticado com acesso à rede através de HTTP comprometa um Oracle WebLogic Server. Os ataques bem-sucedidos desta vulnerabilidade podem resultar na tomada de controlo do Oracle WebLogic Server. Para mais informações, consulte o artigo CVE-2020-14882. |
| PHPUNIT_RCE | As versões do PHPUnit anteriores à 5.6.3 permitem a execução de código remoto com um único pedido POST não autenticado. |
| PHP_CGI_RCE | As versões do PHP anteriores a 5.3.12 e as versões 5.4.x anteriores a 5.4.2, quando configuradas como um script CGI, permitem a execução de código remoto. O código vulnerável não processa corretamente as strings de consulta que não têm um caráter = (sinal de igual). Isto permite que os atacantes adicionem opções de linha de comandos que são executadas no servidor. |
| PORTAL_RCE | A desserialização de dados não fidedignos nas versões do Liferay Portal anteriores à 7.2.1 CE GA2 permite que atacantes remotos executem código arbitrário através de serviços Web JSON. |
| REDIS_RCE | Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os atacantes podem conseguir executar código arbitrário. |
| SOLR_FILE_EXPOSED | A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não requer autenticação, um atacante pode criar diretamente um pedido para ativar uma configuração específica e, eventualmente, implementar uma falsificação de pedidos do lado do servidor (SSRF) ou ler ficheiros arbitrários. |
| SOLR_RCE | As versões 5.0.0 a 8.3.1 do Apache Solr são vulneráveis à execução de código remoto através do VelocityResponseWriter se params.resource.loader.enabled estiver definido como verdadeiro. Isto permite que os atacantes criem um parâmetro que contenha um modelo Velocity malicioso. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | As versões 9.x do Apache Tomcat anteriores à 9.0.31, as versões 8.x anteriores à 8.5.51, as versões 7.x anteriores à 7.0.100 e todas as versões 6.x são vulneráveis à divulgação do código-fonte e da configuração através de um conetor do protocolo Apache JServ exposto. Em alguns casos, isto é usado para executar código remotamente se o carregamento de ficheiros for permitido. |
| VBULLETIN_RCE | Os servidores vBulletin com as versões 5.0.0 a 5.5.4 são vulneráveis à execução remota de código. Esta vulnerabilidade pode ser explorada por um atacante não autenticado através de um parâmetro de consulta num pedido de string de rota. |
| VCENTER_RCE | As versões 7.x do VMware vCenter Server anteriores à 7.0 U1c, 6.7 anteriores à 6.7 U3l e 6.5 anteriores à 6.5 U3n são vulneráveis à execução de código remoto. Esta vulnerabilidade pode ser acionada por um atacante que carregue um ficheiro Java Server Pages criado para um diretório acessível na Web e, em seguida, acione a execução desse ficheiro. |
| WEBLOGIC_RCE | Determinadas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade de execução de código remoto, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Esta vulnerabilidade está relacionada com CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Para mais informações, consulte o artigo CVE-2020-14883. |
| OS_VULNERABILITY | O VM Manager detetou uma vulnerabilidade no pacote do sistema operativo (SO) instalado para uma VM do Compute Engine. |
| UNUSED_IAM_ROLE | O recomendador do IAM detetou uma conta de utilizador que tem uma função do IAM que não foi usada nos últimos 90 dias. |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | O recomendador de IAM detetou que a função de IAM predefinida original concedida a um agente de serviço foi substituída por uma das funções de IAM básicas: proprietário, editor ou leitor. As funções básicas são funções antigas excessivamente permissivas e não devem ser concedidas a agentes de serviço. |
Resultados de GCP_SECURITYCENTER_MISCONFIGURATION suportados
Pode encontrar o mapeamento de UDM na tabela Referência de mapeamento de campos: MISCONFIGURATION.
| Nome da descoberta | Descrição |
|---|---|
| API_KEY_APIS_UNRESTRICTED | As chaves da API estão a ser usadas de forma demasiado ampla. Para resolver este problema, limite a utilização da chave da API para permitir apenas as APIs necessárias para a aplicação. |
| API_KEY_APPS_UNRESTRICTED | Estão a ser usadas chaves da API de forma não restrita, o que permite a utilização por qualquer app não fidedigna |
| API_KEY_EXISTS | Um projeto está a usar chaves da API em vez da autenticação padrão. |
| API_KEY_NOT_ROTATED | A chave da API não é alterada há mais de 90 dias |
| PUBLIC_COMPUTE_IMAGE | Uma imagem do Compute Engine é acessível publicamente. |
| CONFIDENTIAL_COMPUTING_DISABLED | A computação confidencial está desativada numa instância do Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | São usadas chaves SSH ao nível do projeto, o que permite iniciar sessão em todas as instâncias do projeto. |
| COMPUTE_SECURE_BOOT_DISABLED | Esta VM protegida não tem o arranque seguro ativado. A utilização do arranque seguro ajuda a proteger as instâncias de máquinas virtuais contra ameaças avançadas, como rootkits e bootkits. |
| DEFAULT_SERVICE_ACCOUNT_USED | Uma instância está configurada para usar a conta de serviço predefinida. |
| FULL_API_ACCESS | Uma instância está configurada para usar a conta de serviço predefinida com acesso total a todas as APIs Google Cloud. |
| OS_LOGIN_DISABLED | O Início de sessão do SO está desativado nesta instância. |
| PUBLIC_IP_ADDRESS | Uma instância tem um endereço IP público. |
| SHIELDED_VM_DISABLED | A VM protegida está desativada nesta instância. |
| COMPUTE_SERIAL_PORTS_ENABLED | As portas de série estão ativadas para uma instância, o que permite ligações à consola de série da instância. |
| DISK_CMEK_DISABLED | Os discos nesta VM não estão encriptados com chaves de encriptação geridas pelo cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| HTTP_LOAD_BALANCER | Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. |
| IP_FORWARDING_ENABLED | O encaminhamento de IP está ativado nas instâncias. |
| WEAK_SSL_POLICY | Uma instância tem uma política de SSL fraca. |
| BINARY_AUTHORIZATION_DISABLED | A Autorização binária está desativada num cluster do GKE. |
| CLUSTER_LOGGING_DISABLED | O registo não está ativado para um cluster do GKE. |
| CLUSTER_MONITORING_DISABLED | A monitorização está desativada nos clusters do GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Os anfitriões do cluster não estão configurados para usar apenas endereços IP privados e internos para aceder às APIs Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | A encriptação de segredos da camada de aplicação está desativada num cluster do GKE. |
| INTRANODE_VISIBILITY_DISABLED | A visibilidade intranós está desativada para um cluster do GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | As redes autorizadas do plano de controlo não estão ativadas em clusters do GKE. |
| NETWORK_POLICY_DISABLED | A política de rede está desativada nos clusters do GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | O arranque seguro está desativado para um cluster do GKE. |
| OVER_PRIVILEGED_ACCOUNT | Uma conta de serviço tem um acesso ao projeto demasiado amplo num cluster. |
| OVER_PRIVILEGED_SCOPES | Uma conta de serviço de nó tem âmbitos de acesso amplos. |
| POD_SECURITY_POLICY_DISABLED | A PodSecurityPolicy está desativada num cluster do GKE. |
| PRIVATE_CLUSTER_DISABLED | Um cluster do GKE tem um cluster privado desativado. |
| WORKLOAD_IDENTITY_DISABLED | Um cluster do GKE não está subscrito num canal de lançamento. |
| LEGACY_AUTHORIZATION_ENABLED | A autorização antiga está ativada nos clusters do GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | Os discos de arranque neste conjunto de nós não estão encriptados com chaves de encriptação geridas pelo cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| WEB_UI_ENABLED | A IU Web do GKE (painel de controlo) está ativada. |
| AUTO_REPAIR_DISABLED | A funcionalidade de reparação automática de um cluster do GKE, que mantém os nós num estado de funcionamento saudável, está desativada. |
| AUTO_UPGRADE_DISABLED | A funcionalidade de atualização automática de um cluster do GKE, que mantém os clusters e os node pools na versão estável mais recente do Kubernetes, está desativada. |
| CLUSTER_SHIELDED_NODES_DISABLED | Os nós do GKE protegidos não estão ativados para um cluster |
| RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está subscrito num canal de lançamento. |
| BIGQUERY_TABLE_CMEK_DISABLED | Uma tabela do BigQuery não está configurada para usar uma chave de encriptação gerida pelo cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. |
| DATASET_CMEK_DISABLED | Um conjunto de dados do BigQuery não está configurado para usar uma CMEK predefinida. Este detetor requer uma configuração adicional para ser ativado. |
| EGRESS_DENY_RULE_NOT_SET | Não está definida uma regra de recusa de saída numa firewall. As regras de negação de saída devem ser definidas para bloquear o tráfego de saída indesejado. |
| FIREWALL_RULE_LOGGING_DISABLED | O registo de regras de firewall está desativado. O registo de regras de firewall deve estar ativado para poder auditar o acesso à rede. |
| OPEN_CASSANDRA_PORT | Uma firewall está configurada para ter uma porta Cassandra aberta que permite o acesso genérico. |
| OPEN_SMTP_PORT | Uma firewall está configurada para ter uma porta SMTP aberta que permite o acesso genérico. |
| OPEN_REDIS_PORT | Uma firewall está configurada para ter uma porta REDIS aberta que permite o acesso genérico. |
| OPEN_POSTGRESQL_PORT | Uma firewall está configurada para ter uma porta PostgreSQL aberta que permite o acesso genérico. |
| OPEN_POP3_PORT | Uma firewall está configurada para ter uma porta POP3 aberta que permite o acesso genérico. |
| OPEN_ORACLEDB_PORT | Uma firewall está configurada para ter uma porta NETBIOS aberta que permite o acesso genérico. |
| OPEN_NETBIOS_PORT | Uma firewall está configurada para ter uma porta NETBIOS aberta que permite o acesso genérico. |
| OPEN_MYSQL_PORT | Uma firewall está configurada para ter uma porta MYSQL aberta que permite o acesso genérico. |
| OPEN_MONGODB_PORT | Uma firewall está configurada para ter uma porta MONGODB aberta que permite o acesso genérico. |
| OPEN_MEMCACHED_PORT | Uma firewall está configurada para ter uma porta MEMCACHED aberta que permite o acesso genérico. |
| OPEN_LDAP_PORT | Uma firewall está configurada para ter uma porta LDAP aberta que permite o acesso genérico. |
| OPEN_FTP_PORT | Uma firewall está configurada para ter uma porta FTP aberta que permite o acesso genérico. |
| OPEN_ELASTICSEARCH_PORT | Uma firewall está configurada para ter uma porta ELASTICSEARCH aberta que permite o acesso genérico. |
| OPEN_DNS_PORT | Uma firewall está configurada para ter uma porta DNS aberta que permite o acesso genérico. |
| OPEN_HTTP_PORT | Uma firewall está configurada para ter uma porta HTTP aberta que permite o acesso genérico. |
| OPEN_DIRECTORY_SERVICES_PORT | Uma firewall está configurada para ter uma porta DIRECTORY_SERVICES aberta que permite o acesso genérico. |
| OPEN_CISCOSECURE_WEBSM_PORT | Uma firewall está configurada para ter uma porta CISCOSECURE_WEBSM aberta que permite o acesso genérico. |
| OPEN_RDP_PORT | Uma firewall está configurada para ter uma porta RDP aberta que permite o acesso genérico. |
| OPEN_TELNET_PORT | Uma firewall está configurada para ter uma porta TELNET aberta que permite o acesso genérico. |
| OPEN_FIREWALL | Uma firewall está configurada para estar aberta ao acesso público. |
| OPEN_SSH_PORT | Uma firewall está configurada para ter uma porta SSH aberta que permite o acesso genérico. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | A um utilizador foram atribuídas as funções Administrador da conta de serviço e Utilizador da conta de serviço. Isto viola o princípio da "Separação de funções". |
| NON_ORG_IAM_MEMBER | Existe um utilizador que não está a usar credenciais organizacionais. De acordo com as CIS Google Cloud Foundations 1.0, atualmente, apenas as identidades com endereços de email @gmail.com acionam este detetor. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Um utilizador tem a função Utilizador da conta de serviço ou Criador de tokens da conta de serviço ao nível do projeto, em vez de uma conta de serviço específica. |
| ADMIN_SERVICE_ACCOUNT | Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Estas funções não devem ser atribuídas a contas de serviço criadas pelo utilizador. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | Uma chave de conta de serviço não é alterada há mais de 90 dias. |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | Um utilizador gere uma chave de conta de serviço. |
| PRIMITIVE_ROLES_USED | Um utilizador tem a função básica de proprietário, escritor ou leitor. Estas funções são demasiado permissivas e não devem ser usadas. |
| KMS_ROLE_SEPARATION | A separação de funções não é aplicada e existe um utilizador que tem qualquer uma das seguintes funções do Cloud Key Management Service (Cloud KMS) em simultâneo: encriptador/desencriptador de CryptoKey, encriptador ou desencriptador. |
| OPEN_GROUP_IAM_MEMBER | Uma conta do Google Groups que pode ser associada sem aprovação é usada como um principal da política de autorização do IAM. |
| KMS_KEY_NOT_ROTATED | A rotação não está configurada numa chave de encriptação do Cloud KMS. As chaves devem ser rodadas num período de 90 dias. |
| KMS_PROJECT_HAS_OWNER | Um utilizador tem autorizações de proprietário num projeto que tem chaves criptográficas. |
| TOO_MANY_KMS_USERS | Existem mais de três utilizadores de chaves criptográficas. |
| OBJECT_VERSIONING_DISABLED | O controlo de versões de objetos não está ativado num contentor de armazenamento onde os destinos estão configurados. |
| LOCKED_RETENTION_POLICY_NOT_SET | Não está definida uma política de retenção bloqueada para os registos. |
| BUCKET_LOGGING_DISABLED | Existe um contentor de armazenamento sem o registo ativado. |
| LOG_NOT_EXPORTED | Existe um recurso que não tem um destino de registo adequado configurado. |
| AUDIT_LOGGING_DISABLED | O registo de auditoria foi desativado para este recurso. |
| MFA_NOT_ENFORCED | Existem utilizadores que não estão a usar a validação em dois passos. |
| ROUTE_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações de rotas da rede VPC. |
| OWNER_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar atribuições ou alterações de propriedade do projeto. |
| AUDIT_CONFIG_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações de configuração de auditoria. |
| BUCKET_IAM_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações de autorizações de IAM do Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar alterações de funções personalizadas. |
| FIREWALL_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações às regras da firewall de rede da nuvem virtual privada (VPC). |
| NETWORK_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações da rede VPC. |
| SQL_INSTANCE_NOT_MONITORED | As métricas e os alertas de registo não estão configurados para monitorizar as alterações de configuração da instância do Cloud SQL. |
| DEFAULT_NETWORK | A rede predefinida existe num projeto. |
| DNS_LOGGING_DISABLED | O registo de DNS numa rede de VPC não está ativado. |
| PUBSUB_CMEK_DISABLED | Um tópico do Pub/Sub não está encriptado com chaves de encriptação geridas do cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| PUBLIC_SQL_INSTANCE | Uma instância de base de dados do Cloud SQL aceita ligações de todos os endereços IP. |
| SSL_NOT_ENFORCED | Uma instância de base de dados do Cloud SQL não requer que todas as ligações recebidas usem SSL. |
| AUTO_BACKUP_DISABLED | Uma base de dados do Cloud SQL não tem as cópias de segurança automáticas ativadas. |
| SQL_CMEK_DISABLED | Uma instância da base de dados SQL não está encriptada com chaves de encriptação geridas pelo cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| SQL_LOG_CHECKPOINTS_DISABLED | O indicador da base de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definido como ativado. |
| SQL_LOG_CONNECTIONS_DISABLED | O indicador da base de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definido como ativado. |
| SQL_LOG_DISCONNECTIONS_DISABLED | O indicador da base de dados log_disconnections para uma instância do Cloud SQL para PostgreSQL não está definido como ativado. |
| SQL_LOG_DURATION_DISABLED | O indicador da base de dados log_duration para uma instância do Cloud SQL para PostgreSQL não está definido como ativado. |
| SQL_LOG_LOCK_WAITS_DISABLED | O indicador da base de dados log_lock_waits para uma instância do Cloud SQL para PostgreSQL não está definido como ativado. |
| SQL_LOG_STATEMENT | O indicador da base de dados log_statement para uma instância do Cloud SQL para PostgreSQL não está definido como Ddl (todas as declarações de definição de dados). |
| SQL_NO_ROOT_PASSWORD | Uma base de dados do Cloud SQL não tem uma palavra-passe configurada para a conta root. Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| SQL_PUBLIC_IP | Uma base de dados do Cloud SQL tem um endereço IP público. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | O indicador da base de dados de autenticação da base de dados contida para uma instância do Cloud SQL para SQL Server não está definido como desativado. |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag de base de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como desativada. |
| SQL_LOCAL_INFILE | A flag da base de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como desativada. |
| SQL_LOG_MIN_ERROR_STATEMENT | O indicador da base de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definido corretamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | O sinalizador da base de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado. |
| SQL_LOG_TEMP_FILES | O indicador da base de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definido como "0". |
| SQL_REMOTE_ACCESS_ENABLED | A flag da base de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está definida como desativada. |
| SQL_SKIP_SHOW_DATABASE_DISABLED | O indicador da base de dados skip_show_database para uma instância do Cloud SQL para MySQL não está definido como ativado. |
| SQL_TRACE_FLAG_3625 | O indicador da base de dados 3625 (trace flag) para uma instância do Cloud SQL para SQL Server não está definido como ativado. |
| SQL_USER_CONNECTIONS_CONFIGURED | O indicador da base de dados de ligações de utilizadores para uma instância do Cloud SQL para SQL Server está configurado. |
| SQL_USER_OPTIONS_CONFIGURED | A opção de utilizador database flag para uma instância do Cloud SQL para SQL Server está configurada. |
| PUBLIC_BUCKET_ACL | Um contentor do Cloud Storage está acessível publicamente. |
| BUCKET_POLICY_ONLY_DISABLED | O acesso uniforme ao nível do contentor, anteriormente denominado apenas política do contentor, não está configurado. |
| BUCKET_CMEK_DISABLED | Um contentor não está encriptado com chaves de encriptação geridas pelo cliente (CMEK). Este detetor requer uma configuração adicional para ser ativado. Para ver instruções, consulte o artigo Ative e desative detetores. |
| FLOW_LOGS_DISABLED | Existe uma sub-rede da VPC com os registos de fluxo desativados. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Existem sub-redes privadas sem acesso às APIs públicas da Google. |
| kms_key_region_europe | Devido à política da empresa, todas as chaves de encriptação devem permanecer armazenadas na Europa. |
| kms_non_euro_region | Devido à política da empresa, todas as chaves de encriptação devem permanecer armazenadas na Europa. |
| LEGACY_NETWORK | Existe uma rede antiga num projeto. |
| LOAD_BALANCER_LOGGING_DISABLED | O registo está desativado para o balanceador de carga. |
Resultados de GCP_SECURITYCENTER_POSTURE_VIOLATION suportados
Pode encontrar o mapeamento de UDM na tabela Referência de mapeamento de campos: VIOLAÇÃO DE POSTURA.
| Nome da descoberta | Descrição |
|---|---|
| SECURITY_POSTURE_DRIFT | Desvio das políticas definidas na postura de segurança. Isto é detetado pelo serviço de postura de segurança. |
| SECURITY_POSTURE_POLICY_DRIFT | O serviço de postura de segurança detetou uma alteração a uma política da organização que ocorreu fora de uma atualização da postura. |
| SECURITY_POSTURE_POLICY_DELETE | O serviço de postura de segurança detetou que uma política da organização foi eliminada. Esta eliminação ocorreu fora de uma atualização da postura. |
| SECURITY_POSTURE_DETECTOR_DRIFT | O serviço de postura de segurança detetou uma alteração a um detetor do Security Health Analytics que ocorreu fora de uma atualização da postura. |
| SECURITY_POSTURE_DETECTOR_DELETE | O serviço de postura de segurança detetou que um módulo personalizado do Security Health Analytics foi eliminado. Esta eliminação ocorreu fora de uma atualização da postura. |
Formatos de registo do centro de segurança suportados
O analisador do Centro de segurança suporta registos no formato JSON.
Registos de exemplo do centro de segurança suportados
Registos de exemplo de GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Exemplos de registos de GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Registos de exemplo de GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Exemplos de registos de GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Registos de exemplo de GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }GCP_SECURITYCENTER_UNSPECIFIED sample logs
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Referência de mapeamento de campos
Esta secção explica como o analisador do Google Security Operations mapeia os campos de registo do Security Command Center para os campos do modelo de dados unificado (UDM) do Google Security Operations para os conjuntos de dados.
Referência de mapeamento de campos: campos de registos não processados para campos de UDM
A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para as conclusões da Deteção de ameaças de eventos do Security Command Center.
| Campo RawLog | Mapeamento do UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (descontinuado) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (descontinuado) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (descontinuado) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (descontinuado) |
Se o valor do campo de registo connections.destinationIp não for igual ao valor sourceProperties.properties.ipConnection.destIp, o campo de registo connections.destinationIp é mapeado para o campo about.labels.value UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se o valor do campo de registo connections.destinationIp não for igual ao valor sourceProperties.properties.ipConnection.destIp, o campo de registo connections.destinationIp é mapeado para o campo additional.fields.value.string_value UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (descontinuado) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (descontinuado) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (descontinuado) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (descontinuado) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Se o valor do campo de registo message corresponder ao padrão de expressão regular kubernetes, o campo UDM target.resource_ancestors.resource_type é definido como CLUSTER.Caso contrário, se o valor do campo de registo message corresponder à expressão regular kubernetes.*?pods, o campo UDM target.resource_ancestors.resource_type é definido como POD. |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment UDM está definido como GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Se o valor do campo de registo category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo extension.auth.type UDM é definido como SSO. |
|
extension.mechanism |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo UDM extension.mechanism é definido como USERNAME_PASSWORD. |
|
extensions.auth.type |
Se o valor do campo de registo principal.user.user_authentication_status for igual a ACTIVE, o campo UDM extensions.auth.type é definido como SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (descontinuado) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (descontinuado) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (descontinuado) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (descontinuado) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (descontinuado) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (descontinuado) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (descontinuado) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Se o valor do campo de registo category for igual a Initial Access: Log4j Compromise Attempt, o campo de registo sourceProperties.properties.loadBalancerName é mapeado para o campo intermediary.resource.name UDM. |
|
intermediary.resource.resource_type |
Se o valor do campo de registo category for igual a Initial Access: Log4j Compromise Attempt, o campo UDM intermediary.resource.resource_type é definido como BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registo canonicalName não estiver vazio, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok.Se o valor do campo de registo finding_id estiver vazio, o campo de registo sourceProperties.evidence.sourceLogId.insertId é mapeado para o campo UDM metadata.product_log_id.Se o valor do campo de registo canonicalName estiver vazio, o campo de registo sourceProperties.evidence.sourceLogId.insertId é mapeado para o campo UDM metadata.product_log_id. |
|
metadata.product_name |
O campo metadata.product_name UDM está definido como Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
O campo metadata.vendor_name UDM está definido como Google. |
|
network.application_protocol |
Se o valor do campo category do registo for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo network.application_protocol UDM é definido como DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, o campo de registo sourceProperties.properties.indicatorContext.asn é mapeado para o campo network.asn UDM. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, o campo de registo sourceProperties.properties.indicatorContext.carrierName é mapeado para o campo network.carrier_name UDM. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.indicatorContext.reverseDnsDomain é mapeado para o campo UDM network.dns_domain. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Se o valor do campo de registo category for igual a Malware: Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseData.responseClass é mapeado para o campo network.dns.answers.class UDM. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Se o valor do campo de registo category corresponder à expressão regular Malware: Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseData.responseValue é mapeado para o campo UDM network.dns.answers.data. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Se o valor do campo de registo category for igual a Malware: Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseData.domainName é mapeado para o campo network.dns.answers.name UDM. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Se o valor do campo de registo category for igual a Malware: Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseData.ttl é mapeado para o campo network.dns.answers.ttl UDM. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Se o valor do campo de registo category for igual a Malware: Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseData.responseType é mapeado para o campo network.dns.answers.type UDM. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.authAnswer é mapeado para o campo UDM network.dns.authoritative. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.queryName é mapeado para o campo UDM network.dns.questions.name. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.queryType é mapeado para o campo UDM network.dns.questions.type. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.responseCode é mapeado para o campo UDM network.dns.response_code. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registo category for igual a Persistence: New User Agent, o campo de registo sourceProperties.properties.anomalousSoftware.callerUserAgent é mapeado para o campo network.http.user_agent UDM. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.callerUserAgent é mapeado para o campo UDM network.http.user_agent. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Se o valor do campo de registo category for igual a Discovery: Service Account Self-Investigation, o campo de registo sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent é mapeado para o campo network.http.user_agent UDM. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Se o valor do campo de registo category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo UDM network.ip_protocol é definido como um dos seguintes valores:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.indicatorContext.organizationName é mapeado para o campo UDM network.organization_name. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Se o valor do campo de registo category for igual a Persistence: New User Agent, o campo de registo sourceProperties.properties.anomalousSoftware.behaviorPeriod é mapeado para o campo network.session_duration UDM. |
sourceProperties.properties.sourceIp |
principal.ip |
Se o valor do campo de registo category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.sourceIp é mapeado para o campo UDM principal.ip. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.sourceIp é mapeado para o campo principal.ip UDM. |
access.callerIp |
principal.ip |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registo access.callerIp é mapeado para o campo UDM principal.ip. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Se o valor do campo de registo category for igual a Discovery: Service Account Self-Investigation, o campo de registo sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp é mapeado para o campo principal.ip UDM. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Se o valor do campo de registo category for igual a Evasion: Access from Anonymizing Proxy, o campo de registo sourceProperties.properties.changeFromBadIp.ip é mapeado para o campo principal.ip UDM. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registo sourceProperties.properties.dnsContexts.sourceIp é mapeado para o campo UDM principal.ip. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Se o valor do campo de registo category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registo sourceProperties.properties.ipConnection.srcIp é mapeado para o campo UDM principal.ip. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, então, se o valor do campo de registo sourceProperties.properties.ipConnection.srcIp não for igual a sourceProperties.properties.indicatorContext.ipAddress, o campo de registo sourceProperties.properties.indicatorContext.ipAddress é mapeado para o campo UDM principal.ip. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Se o valor do campo de registo category for igual a Persistence: New Geography, o campo de registo sourceProperties.properties.anomalousLocation.callerIp é mapeado para o campo principal.ip UDM. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (descontinuado) |
Se o valor do campo de registo category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.scannerDomain é mapeado para o campo UDM principal.labels.key/value. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Se o valor do campo de registo category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.scannerDomain é mapeado para o campo UDM additional.fields.value.string_value. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (descontinuado) |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.jobState é mapeado para o campo principal.labels.key/value e UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.jobState é mapeado para o campo additional.fields.value.string_value UDM. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.indicatorContext.countryCode é mapeado para o campo UDM principal.location.country_or_region. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.job.location é mapeado para o campo principal.location.country_or_region UDM. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.job.location é mapeado para o campo UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Se o valor do campo de registo category for igual a Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier é mapeado para o campo UDM principal.location.country_or_region. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.anomalousLocation.anomalousLocation é mapeado para o campo principal.location.name UDM. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Se o valor do campo de registo category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registo sourceProperties.properties.ipConnection.srcPort é mapeado para o campo UDM principal.port. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.jobLink é mapeado para o campo UDM principal.process.file.full_path. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.jobLink é mapeado para o campo principal.process.file.full_path UDM. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.job.jobId é mapeado para o campo principal.process.pid UDM. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.job.jobId é mapeado para o campo UDM principal.process.pid. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.srcVpc.subnetworkName é mapeado para o campo UDM principal.resource_ancestors.attribute.labels.value. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.srcVpc.projectId é mapeado para o campo UDM principal.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM principal.resource_ancestors.name e o campo UDM principal.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registo message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registo sourceProperties.sourceId.customerOrganizationNumber é mapeado para o campo UDM principal.resource.attribute.labels.key/value. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Se o valor do campo de registo sourceProperties.properties.projectId não estiver vazio, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM principal.resource.name. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Se o valor do campo de registo category for igual a Discovery: Service Account Self-Investigation, o campo de registo sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId é mapeado para o campo principal.resource.name UDM. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Se o valor do campo de registo category for igual a Malware: Outgoing DoS, o campo de registo sourceProperties.properties.sourceInstanceDetails é mapeado para o campo principal.resource.name UDM. |
|
principal.user.account_type |
Se o valor do campo de registo access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type é definido como SERVICE_ACCOUNT_TYPE.Caso contrário, se o valor do campo de registo access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type é definido como CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Se o valor do campo de registo category for igual a Discovery: Service Account Self-Investigation, o campo UDM principal.user.attribute.labels.key é definido como rawUserAgent e o campo de registo sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent é mapeado para o campo UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Discovery: Service Account Self-Investigation, o campo de registo sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Evasion: Access from Anonymizing Proxy, o campo de registo sourceProperties.properties.changeFromBadIp.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.userEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registo sourceProperties.properties.principalEmail é mapeado para o campo UDM principal.user.email_addresses.Se o valor do campo de registo category for igual a Initial Access: Suspicious Login Blocked, o campo de registo sourceProperties.properties.principalEmail é mapeado para o campo UDM principal.user.email_addresses. |
access.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography, o campo de registo access.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.sensitiveRoleGrant.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Persistence: New User Agent, o campo de registo sourceProperties.properties.anomalousSoftware.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.customRoleSensitivePermissions.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Persistence: New Geography, o campo de registo sourceProperties.properties.anomalousLocation.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Credential Access: External Member Added To Privileged Group, o campo de registo sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Credential Access: Privileged Group Opened To Public, o campo de registo sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registo sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.vpcViolation.userEmail é mapeado para o campo principal.user.email_addresses UDM. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Se o valor do campo de registo category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo de registo sourceProperties.properties.ssoState é mapeado para o campo UDM principal.user.user_authentication_status. |
database.userName |
principal.user.userid |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registo database.userName é mapeado para o campo principal.user.userid UDM. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.threatIntelligenceSource é mapeado para o campo security_result.about.application UDM. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.sourceIp é mapeado para o campo security_result.about.ip UDM. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName é mapeado para o campo UDM security_result.about.resource.name.Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.delta.restrictedResources.resourceName é mapeado para o campo UDM security_result.about.resource.name e o campo UDM security_result.about.resource_type é definido como CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.delta.allowedServices.serviceName é mapeado para o campo UDM security_result.about.resource.name e o campo UDM security_result.about.resource_type é definido como BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.delta.restrictedServices.serviceName é mapeado para o campo UDM security_result.about.resource.name e o campo UDM security_result.about.resource_type é definido como BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.delta.accessLevels.policyName é mapeado para o campo UDM security_result.about.resource.name e o campo UDM security_result.about.resource_type é definido como ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registo message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name é definido como security.Se o valor do campo de registo message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name é definido como Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Se o valor do campo de registo category for igual a Initial Access: Suspicious Login Blocked, o campo UDM security_result.action é definido como BLOCK.Se o valor do campo de registo category for igual a Brute Force: SSH, se o valor do campo de registo sourceProperties.properties.attempts.authResult for igual a SUCCESS, o campo UDM security_result.action é definido como BLOCK.Caso contrário, o campo UDM security_result.action é definido como BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.delta.restrictedResources.action é mapeado para o campo security_result.action_details UDM. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.delta.restrictedServices.action é mapeado para o campo security_result.action_details UDM. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.delta.allowedServices.action é mapeado para o campo security_result.action_details UDM. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.delta.accessLevels.action é mapeado para o campo security_result.action_details UDM. |
|
security_result.alert_state |
Se o valor do campo de registo state for igual a ACTIVE, o campo security_result.alert_state UDM é definido como ALERTING.Caso contrário, o campo security_result.alert_state UDM é definido como NOT_ALERTING. |
findingClass |
security_result.catgory_details |
O campo de registo findingClass - category está mapeado para o campo security_result.catgory_details do UDM. |
category |
security_result.catgory_details |
O campo de registo findingClass - category está mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registo mute for igual a MUTED ou UNMUTED, o campo de registo muteInitiator é mapeado para o campo UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registo mute for igual a MUTED ou UNMUTED, o campo de registo muteUpdateTimer é mapeado para o campo UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Se o valor do campo de registo category for igual a Persistence: New User Agent, o campo de registo sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.authResult é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.indicator.indicatorType é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.customer_industry é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.customer_name é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.lasthit é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.myVote é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.support_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_class_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_definition_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.tag_name é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.upVotes é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.downVotes é mapeado para o campo security_result.detection_fields.value UDM. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo UDM security_result.detection_fields.key é definido como sourceProperties_contextUris_relatedFindingUri_url e o campo de registo sourceProperties.contextUris.relatedFindingUri.url é mapeado para o campo UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registo sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName é mapeado para o campo UDM security_result.detection_fields.key e o campo de registo sourceProperties.contextUris.virustotalIndicatorQueryUri.url é mapeado para o campo UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registo category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.contextUris.workspacesUri.displayName é mapeado para o campo UDM security_result.detection_fields.key e o campo de registo sourceProperties.contextUris.workspacesUri.url é mapeado para o campo UDM security_result.detection_fields.key/value. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.public_tag_name é mapeado para o campo intermediary.labels.key UDM. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.tags.description é mapeado para o campo intermediary.labels.value UDM. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Se o valor do campo de registo category for igual a Malware: Bad IP, o campo de registo sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal é mapeado para o campo security_result.detection_fields.value UDM. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registo sourceProperties.detectionPriority for igual a HIGH, o campo UDM security_result.priority é definido como HIGH_PRIORITY.Caso contrário, se o valor do campo de registo sourceProperties.detectionPriority for igual a MEDIUM, o campo UDM security_result.priority é definido como MEDIUM_PRIORITY.Caso contrário, se o valor do campo de registo sourceProperties.detectionPriority for igual a LOW, o campo UDM security_result.priority é definido como LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Exfiltration, o campo de registo sourceProperties.properties.vpcViolation.violationReason é mapeado para o campo security_result.summary UDM. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registo database.query é mapeado para o campo src.process.command_line UDM. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.folders.resourceFolderDisplayName é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.parentDisplayName é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.parentName é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.projectDisplayName é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri é mapeado para o campo src.resource_ancestors.attribute.labels.value UDM. |
parent |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo parent é mapeado para o campo UDM src.resource_ancestors.name. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId é mapeado para o campo UDM src.resource_ancestors.name e o campo UDM src.resource_ancestors.resource_type é definido como TABLE. |
resourceName |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo resourceName é mapeado para o campo src.resource_ancestors.name UDM. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.folders.resourceFolder é mapeado para o campo src.resource_ancestors.name UDM. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.sourceId.customerOrganizationNumber é mapeado para o campo UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.sourceId.projectNumber é mapeado para o campo UDM src.resource_ancestors.product_object_id. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.sourceId.organizationNumber é mapeado para o campo UDM src.resource_ancestors.product_object_id. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.type é mapeado para o campo src.resource_ancestors.resource_subtype UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registo database.displayName é mapeado para o campo src.resource.attribute.labels.value UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo UDM src.resource.attribute.labels.key é definido como grantees e o campo de registo database.grantees é mapeado para o campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.displayName é mapeado para o campo UDM src.resource.attribute.labels.value. |
resource.displayName |
principal.hostname |
Se o valor do campo de registo resource.type corresponder ao padrão de expressão regular (?i)google.compute.Instance or google.container.Cluster, o campo de registo resource.displayName é mapeado para o campo principal.hostname UDM. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.display_name é mapeado para o campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.sourceTable.datasetId é mapeado para o campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.sourceTable.projectId é mapeado para o campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.sourceTable.resourceUri é mapeado para o campo UDM src.resource.attribute.labels.value. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.backupId é mapeado para o campo src.resource.attribute.labels.value UDM. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registo src.resource.attribute.labels.key/value é mapeado para o campo UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.sources.name é mapeado para o campo UDM src.resource.name e o campo de registo resourceName é mapeado para o campo UDM src.resource_ancestors.name. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource é mapeado para o campo UDM src.resource.name e o campo UDM src.resource.resource_subtype é definido como CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource é mapeado para o campo UDM src.resource.name e o campo UDM src.resource.resource_subtype é definido como CloudSQL.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.cloudsqlInstanceResource é mapeado para o campo UDM src.resource.name e o campo UDM src.resource.resource_subtype é definido como CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.sources.name é mapeado para o campo UDM src.resource.name e o campo de registo resourceName é mapeado para o campo UDM src.resource_ancestors.name. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.sourceTable.tableId é mapeado para o campo UDM src.resource.product_object_id. |
access.serviceName |
target.application |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registo access.serviceName é mapeado para o campo UDM target.application. |
sourceProperties.properties.serviceName |
target.application |
Se o valor do campo de registo category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.properties.serviceName é mapeado para o campo UDM target.application. |
sourceProperties.properties.domainName |
target.domain.name |
Se o valor do campo de registo category for igual a Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.properties.domainName é mapeado para o campo UDM target.domain.name. |
sourceProperties.properties.domains.0 |
target.domain.name |
Se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.domains.0 é mapeado para o campo UDM target.domain.name. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action é mapeado para o campo target.group.attribute.labels.key/value UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Se o valor do campo de registo category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registo sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action é mapeado para o campo target.group.attribute.labels.key/value UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member é mapeado para o campo target.group.attribute.labels.key/value UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Se o valor do campo de registo category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registo sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member é mapeado para o campo target.group.attribute.labels.key/value UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Se o valor do campo de registo category for igual a Credential Access: Privileged Group Opened To Public, o campo de registo sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin é mapeado para o campo target.group.attribute.permissions.name UDM. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.customRoleSensitivePermissions.permissions é mapeado para o campo target.group.attribute.permissions.name UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registo category for igual a Credential Access: External Member Added To Privileged Group, o campo de registo sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName é mapeado para o campo target.group.attribute.roles.name UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registo category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registo sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role é mapeado para o campo target.group.attribute.roles.name UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role é mapeado para o campo target.group.attribute.roles.name UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registo category for igual a Credential Access: Privileged Group Opened To Public, o campo de registo sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName é mapeado para o campo target.group.attribute.roles.name UDM. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registo category for igual a Persistence: IAM Anomalous Grant, o campo de registo sourceProperties.properties.customRoleSensitivePermissions.roleName é mapeado para o campo target.group.attribute.roles.name UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registo category for igual a Credential Access: External Member Added To Privileged Group, o campo de registo sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName é mapeado para o campo target.group.group_display_name UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Se o valor do campo de registo category for igual a Credential Access: Privileged Group Opened To Public, o campo de registo sourceProperties.properties.privilegedGroupOpenedToPublic.groupName é mapeado para o campo target.group.group_display_name UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registo category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registo sourceProperties.properties.sensitiveRoleToHybridGroup.groupName é mapeado para o campo target.group.group_display_name UDM. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Se o valor do campo de registo category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registo sourceProperties.properties.ipConnection.destIp é mapeado para o campo UDM target.ip. |
access.methodName |
target.labels [access_methodName] (descontinuado) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (descontinuado) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (descontinuado) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (descontinuado) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (descontinuado) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (descontinuado) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (descontinuado) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (descontinuado) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (descontinuado) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (descontinuado) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (descontinuado) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (descontinuado) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (descontinuado) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (descontinuado) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (descontinuado) |
Se o valor do campo de registo category for igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.properties.methodName é mapeado para o campo UDM target.labels.value. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Se o valor do campo de registo category for igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.properties.methodName é mapeado para o campo UDM additional.fields.value.string_value. |
sourceProperties.properties.network.location |
target.location.name |
Se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.network.location é mapeado para o campo UDM target.location.name. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Se o valor do campo de registo category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registo sourceProperties.properties.ipConnection.destPort é mapeado para o campo UDM target.port. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.query é mapeado para o campo target.process.command_line UDM. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
O campo de registo containers.labels.name está mapeado para o campo UDM target.resource_ancestors.attribute.labels.key e o campo de registo containers.labels.value está mapeado para o campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.destVpc.projectId é mapeado para o campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registo sourceProperties.properties.destVpc.subnetworkName é mapeado para o campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Se o valor do campo de registo category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo sourceProperties.properties.network.subnetworkName é mapeado para o campo UDM target.resource_ancestors.value. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Se o valor do campo de registo category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo sourceProperties.properties.network.subnetworkId é mapeado para o campo UDM target.resource_ancestors.value. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Credential Access: External Member Added To Privileged Group, o campo de registo sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource é mapeado para o campo target.resource_ancestors.name UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Credential Access: Privileged Group Opened To Public, o campo de registo sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource é mapeado para o campo target.resource_ancestors.name UDM. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.destVpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name, o campo de registo sourceProperties.properties.vpc.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VPC_NETWORK.Caso contrário, se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registo sourceProperties.properties.vpcName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Se o valor do campo de registo category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registo sourceProperties.properties.gceInstanceId é mapeado para o campo UDM target.resource_ancestors.product_object_id e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo category do registo for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type UDM é definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo category do registo for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type UDM é definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo category do registo for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type UDM é definido como VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Se o valor do campo category do registo for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type UDM é definido como VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.zone é mapeado para o campo target.resource.attribute.cloud.availability_zone UDM. |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registo canonicalName através de um padrão Grok.Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM src.resource.attribute.labels.key/value [finding_id]. Se o valor do campo de registo category for igual a um dos seguintes valores, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM src.resource.product_object_id. Se o valor do campo de registo category for igual a um dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM src.resource.attribute.labels.key/value [source_id]. Se o valor do campo de registo category for igual a um dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM target.resource.attribute.labels.key/value [finding_id]. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM target.resource.product_object_id. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM target.resource.attribute.labels.key/value [source_id]. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId é mapeado para o campo target.resource.attribute.labels.value UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId é mapeado para o campo target.resource.attribute.labels.value UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri é mapeado para o campo target.resource.attribute.labels.value UDM. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo UDM target.resource.attribute.labels.key é definido como exportScope e o campo de registo sourceProperties.properties.exportToGcs.exportScope é mapeado para o campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.objectName é mapeado para o campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.originalUri é mapeado para o campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.metadataKeyOperation é mapeado para o campo UDM target.resource.attribute.labels.key/value. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registo exfiltration.targets.components é mapeado para o campo UDM target.resource.attribute.labels.key/value. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketAccess é mapeado para o campo target.resource.attribute.permissions.name UDM. |
sourceProperties.properties.name |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
resourceName |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
exfiltration.targets.name |
target.resource.name |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.bucketResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registo sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.vmName é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registo sourceProperties.properties.instanceDetails é mapeado para o campo UDM target.resource.name, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.attribute.name e o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name, o campo de registo sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId é mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type é definido como TABLE.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.instanceId é mapeado para o campo target.resource.product_object_id UDM. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionName é mapeado para o campo UDM target.resource.resource_subtype.Caso contrário, se o valor do campo de registo category for igual a Credential Access: External Member Added To Privileged Group, o campo UDM target.resource.resource_subtype é definido como Privileged Group.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo UDM target.resource.resource_subtype é definido como BigQuery. |
|
target.resource.resource_type |
Se o valor do campo de registo sourceProperties.properties.extractionAttempt.destinations.collectionType corresponder à expressão regular BUCKET, o campo UDM target.resource.resource_type é definido como STORAGE_BUCKET.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo UDM target.resource.resource_type é definido como TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo sourceProperties.properties.extractionAttempt.jobLink é mapeado para o campo UDM target.url.Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, o campo de registo sourceProperties.properties.extractionAttempt.jobLink é mapeado para o campo UDM target.url. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registo sourceProperties.properties.exportToGcs.gcsUri é mapeado para o campo target.url UDM. |
sourceProperties.properties.requestUrl |
target.url |
Se o valor do campo de registo category for igual a Initial Access: Log4j Compromise Attempt, o campo de registo sourceProperties.properties.requestUrl é mapeado para o campo target.url UDM. |
sourceProperties.properties.policyLink |
target.url |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, o campo de registo sourceProperties.properties.policyLink é mapeado para o campo target.url UDM. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Se o valor do campo de registo category for igual a Persistence: New Geography, o campo de registo sourceProperties.properties.anomalousLocation.notSeenInLast é mapeado para o campo target.user.attribute.labels.value UDM. |
sourceProperties.properties.attempts.username |
target.user.userid |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.attempts.username é mapeado para o campo UDM target.user.userid.Se o valor do campo de registo category for igual a Initial Access: Suspicious Login Blocked, o campo de registo userid é mapeado para o campo UDM target.user.userid. |
sourceProperties.properties.principalEmail |
target.user.userid |
Se o valor do campo de registo category for igual a Initial Access: Suspicious Login Blocked, o campo de registo userid é mapeado para o campo target.user.userid UDM. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (descontinuado) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (descontinuado) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (descontinuado) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (descontinuado) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Added Binary Executed ou Added Library Loaded, o campo de registo sourceProperties.VM_Instance_Name é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource_ancestors.resource_type é definido como VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Se o valor do campo de registo category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo de registo sourceProperties.Backend_Service é mapeado para o campo UDM target.resource.name e o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Se o valor do campo de registo category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo UDM target.resource.resource_type é definido como BACKEND_SERVICE.Se o valor do campo de registo category for igual a Configurable Bad Domain, o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : o valor user_id foi extraído do campo de registo sourceProperties.properties.sensitiveRoleGrant.principalEmail e, em seguida, o campo user_id é mapeado para o campo principal.user.userid do UDM. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : o valor user_id foi extraído do campo de registo sourceProperties.properties.customRoleSensitivePermissions.principalEmail e, em seguida, o campo user_id é mapeado para o campo principal.user.userid do UDM. |
resourceName |
principal.asset.location.name |
Se o valor do campo de registo parentDisplayName for igual a Virtual Machine Threat Detection, o Grok : extrai project_name, region, zone_suffix e asset_prod_obj_id do campo de registo resourceName. Em seguida, o campo de registo region é mapeado para o campo UDM principal.asset.location.name. |
resourceName |
principal.asset.product_object_id |
Se o valor do campo de registo parentDisplayName for igual a Virtual Machine Threat Detection, o Grok extrai project_name, region, zone_suffix e asset_prod_obj_id do campo de registo resourceName. Em seguida, o campo de registo asset_prod_obj_id é mapeado para o campo UDM principal.asset.product_object_id. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Se o valor do campo de registo parentDisplayName for igual a Virtual Machine Threat Detection, o Grok : extrai project_name, region, zone_suffix e asset_prod_obj_id do campo de registo resourceName. Em seguida, o campo de registo zone_suffix é mapeado para o campo UDM principal.asset.attribute.cloud.availability_zone. |
resourceName |
principal.asset.attribute.labels[project_name] |
Se o valor do campo de registo parentDisplayName for igual a Virtual Machine Threat Detection, o Grok : extrai project_name, region, zone_suffix e asset_prod_obj_id do campo de registo resourceName. Em seguida, o campo de registo project_name é mapeado para o campo UDM principal.asset.attribute.labels.value. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.methodName é mapeado para o campo target.labels UDM. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.methodName é mapeado para o campo additional.fields UDM. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.serviceName é mapeado para o campo target.labels UDM. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.serviceName é mapeado para o campo additional.fields UDM. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.attemptTimes é mapeado para o campo target.labels UDM. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.attemptTimes é mapeado para o campo additional.fields UDM. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se o valor do campo de registo category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registo sourceProperties.properties.failedActions.lastOccurredTime é mapeado para o campo UDM target.labels. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se o valor do campo de registo category for igual a
Initial Access: Excessive Permission Denied Actions, o campo de registo
sourceProperties.properties.failedActions.lastOccurredTime é mapeado para o campo additional.fields UDM. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Se o valor do campo de registo category contiver um dos seguintes valores, o campo de registo resource.resourcePathString é mapeado para o campo src.resource.attribute.labels[resource_path_string] UDM.
resource.resourcePathString é mapeado para o campo UDM target.resource.attribute.labels[resource_path_string]. |
Referência de mapeamento de campos: identificador do evento para tipo de evento
| Identificador do evento | Tipo de evento | Categoria de segurança |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
As tabelas seguintes contêm tipos de eventos UDM e mapeamento de campos UDM para o Security Command Center: classes de deteção VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED e POSTURE_VIOLATION.
Categoria VULNERABILITY para o tipo de evento UDM
A tabela seguinte apresenta a categoria VULNERABILITY e os respetivos tipos de eventos UDM correspondentes.
| Identificador do evento | Tipo de evento | Categoria de segurança |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Categoria MISCONFIGURATION para o tipo de evento UDM
A tabela seguinte apresenta a categoria MISCONFIGURATION e os respetivos tipos de eventos da UDM.
| Identificador do evento | Tipo de evento |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoria OBSERVATION para tipo de evento UDM
A tabela seguinte apresenta a categoria OBSERVATION e os respetivos tipos de eventos do UDM.
| Identificador do evento | Tipo de evento |
|---|---|
| Persistência: chave SSH do projeto adicionada | SETTING_MODIFICATION |
| Persistência: adicionar função sensível | RESOURCE_PERMISSIONS_CHANGE |
| Impacto: instância de GPU criada | USER_RESOURCE_CREATION |
| Impacto: muitas instâncias criadas | USER_RESOURCE_CREATION |
Categoria de ERRO para o tipo de evento UDM
A tabela seguinte apresenta a categoria ERROR e os respetivos tipos de eventos da UDM.
| Identificador do evento | Tipo de evento |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoria UNSPECIFIED para o tipo de evento UDM
A tabela seguinte apresenta a categoria UNSPECIFIED e os respetivos tipos de eventos da UDM.
| Identificador do evento | Tipo de evento | Categoria de segurança |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoria POSTURE_VIOLATION para o tipo de evento UDM
A tabela seguinte apresenta a categoria POSTURE_VIOLATION e os respetivos tipos de eventos UDM.
| Identificador do evento | Tipo de evento |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Referência de mapeamento de campos: VULNERABILITY
A tabela seguinte apresenta os campos de registo da categoria VULNERABILITY e os respetivos campos da UDM.
| Campo RawLog | Mapeamento do UDM | Lógica |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| categoria | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | region foi extraído de resourceName através de um padrão Grok e mapeado para o campo principal.asset.location.name da UDM. |
| resourceName | principal.asset.product_object_id | asset_prod_obj_id foi extraído de resourceName através de um padrão Grok e mapeado para o campo principal.asset.product_object_id da UDM. |
| resourceName | principal.asset.attribute.cloud.availability_zone | zone_suffix foi extraído de resourceName através de um padrão Grok e mapeado para o campo principal.asset.attribute.cloud.availability_zone da UDM. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Referência de mapeamento de campos: MISCONFIGURATION
A tabela seguinte apresenta os campos de registo da categoria MISCONFIGURATION e os respetivos campos UDM.
| Campo RawLog | Mapeamento do UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Referência de mapeamento de campos: OBSERVATION
A tabela seguinte apresenta os campos de registo da categoria OBSERVATION e os respetivos campos UDM correspondentes.
| Campo RawLog | Mapeamento do UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Referência do mapeamento de campos: ERROR
A tabela seguinte apresenta os campos de registo da categoria ERROR e os respetivos campos UDM.
| Campo RawLog | Mapeamento do UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campos: UNSPECIFIED
A tabela seguinte apresenta os campos de registo da categoria UNSPECIFIED e os respetivos campos da UDM.
| Campo RawLog | Mapeamento do UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campos: POSTURE_VIOLATION
A tabela seguinte apresenta os campos de registo da categoria POSTURE_VIOLATION e os respetivos campos da UDM.
| Campo de registo | Mapeamento do UDM | Lógica |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Se o valor do campo de registo finding.resourceName não estiver vazio, o campo de registo finding.resourceName é mapeado para o campo UDM target.resource.name.O campo project_name é extraído do campo de registo finding.resourceName através do padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name é mapeado para o campo UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registo resourceName não estiver vazio, o campo de registo resourceName é mapeado para o campo UDM target.resource.name.O campo project_name é extraído do campo de registo resourceName através do padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name é mapeado para o campo UDM target.resource_ancestors.name. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registo finding.cloudProvider contiver um dos seguintes valores, o campo de registo finding.cloudProvider é mapeado para o campo UDM about.resource.attribute.cloud.environment.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registo cloudProvider contiver um dos seguintes valores, o campo de registo cloudProvider é mapeado para o campo UDM about.resource.attribute.cloud.environment.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Se o valor do campo de registo resource.cloudProvider contiver um dos seguintes valores, o campo de registo resource.cloudProvider é mapeado para o campo UDM target.resource.attribute.cloud.environment.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Campos comuns: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
A tabela seguinte apresenta os campos comuns das categorias SECURITY COMMAND CENTER: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION e TOXIC_COMBINATION, e os respetivos campos UDM.
| Campo RawLog | Mapeamento do UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (descontinuado) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (descontinuado) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (descontinuado) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (descontinuado) |
Se o valor do campo de registo connections.destinationIp não for igual ao valor sourceProperties.properties.ipConnection.destIp, o campo de registo connections.destinationIp é mapeado para o campo about.labels.value UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se o valor do campo de registo connections.destinationIp não for igual ao valor sourceProperties.properties.ipConnection.destIp, o campo de registo connections.destinationIp é mapeado para o campo additional.fields.value UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (descontinuado) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (descontinuado) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (descontinuado) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (descontinuado) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
O campo target.resource_ancestors.resource_type UDM está definido como CLUSTER. |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment UDM está definido como GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (descontinuado) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (descontinuado) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (descontinuado) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (descontinuado) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (descontinuado) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (descontinuado) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (descontinuado) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (descontinuado) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registo canonicalName não estiver vazio, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok.Se o valor do campo de registo finding_id estiver vazio, o campo de registo sourceProperties.evidence.sourceLogId.insertId é mapeado para o campo UDM metadata.product_log_id.Se o valor do campo de registo canonicalName estiver vazio, o campo de registo sourceProperties.evidence.sourceLogId.insertId é mapeado para o campo UDM metadata.product_log_id. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registo message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registo sourceProperties.sourceId.customerOrganizationNumber é mapeado para o campo UDM principal.resource.attribute.labels.value. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Se o valor do campo de registo access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type é definido como SERVICE_ACCOUNT_TYPE.Caso contrário, se o valor do campo de registo access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type é definido como CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registo access.principalEmail não estiver vazio e corresponder à expressão regular ^.+@.+$, o campo de registo access.principalEmail é mapeado para o campo principal.user.email_addresses UDM.access.principalEmail |
access.principalEmail |
principal.user.userid |
Se o valor do campo de registo access.principalEmail não estiver vazio e o valor do campo de registo access.principalEmail não corresponder à expressão regular ^.+@.+$, o campo de registo access.principalEmail é mapeado para o campo UDM principal.user.userid. |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registo message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name é definido como security.Se o valor do campo de registo message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name é definido como Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Se o valor do campo de registo state for igual a ACTIVE, o campo security_result.alert_state UDM é definido como ALERTING.Caso contrário, o campo security_result.alert_state UDM é definido como NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
O campo de registo findingClass - category está mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registo mute for igual a MUTED ou UNMUTED, o campo de registo muteInitiator é mapeado para o campo UDM security_result.detection_fields.value. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registo mute for igual a MUTED ou UNMUTED, o campo de registo muteUpdateTimer é mapeado para o campo UDM security_result.detection_fields.value. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registo category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo UDM security_result.detection_fields.key é definido como sourceProperties_contextUris_relatedFindingUri_url e o campo de registo sourceProperties.contextUris.relatedFindingUri.url é mapeado para o campo UDM metadata.url_back_to_product. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registo sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName é mapeado para o campo UDM security_result.detection_fields.key e o campo de registo sourceProperties.contextUris.virustotalIndicatorQueryUri.url é mapeado para o campo UDM security_result.detection_fields.value. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registo category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registo sourceProperties.contextUris.workspacesUri.displayName é mapeado para o campo UDM security_result.detection_fields.key e o campo de registo sourceProperties.contextUris.workspacesUri.url é mapeado para o campo UDM security_result.detection_fields.value. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registo sourceProperties.detectionPriority for igual a HIGH, o campo UDM security_result.priority é definido como HIGH_PRIORITY.Caso contrário, se o valor do campo de registo sourceProperties.detectionPriority for igual a MEDIUM, o campo UDM security_result.priority é definido como MEDIUM_PRIORITY.Caso contrário, se o valor do campo de registo sourceProperties.detectionPriority for igual a LOW, o campo UDM security_result.priority é definido como LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registo database.query é mapeado para o campo UDM src.process.command_line.Caso contrário, o campo de registo database.query é mapeado para o campo UDM target.process.command_line. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.folders.resourceFolderDisplayName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.Caso contrário, o campo de registo resource.folders.resourceFolderDisplayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.folders.resourceFolderDisplay é mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.Caso contrário, o campo de registo resource.gcpMetadata.folders.resourceFolderDisplay é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.folders.resourceFolder é mapeado para o campo UDM src.resource_ancestors.name.Caso contrário, o campo de registo resource.gcpMetadata.folders.resourceFolder é mapeado para o campo UDM target.resource_ancestors.name. |
resource.organization |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.organization é mapeado para o campo UDM src.resource_ancestors.name.Caso contrário, o campo de registo resource.organization é mapeado para o campo UDM target.resource_ancestors.name. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.organization é mapeado para o campo UDM src.resource_ancestors.name.Caso contrário, o campo de registo resource.gcpMetadata.organization é mapeado para o campo UDM target.resource_ancestors.name. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.parentDisplayName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.parentDisplayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.parentDisplayName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.gcpMetadata.parentDisplayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.parentName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.parentName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.parent é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.gcpMetadata.parent é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.projectDisplayName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.projectDisplayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.gcpMetadata.projectDisplayName é mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.Caso contrário, o campo de registo resource.gcpMetadata.projectDisplayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.type é mapeado para o campo src.resource_ancestors.resource_subtype UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registo database.displayName é mapeado para o campo src.resource.attribute.labels.value UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo UDM src.resource.attribute.labels.key é definido como grantees e o campo de registo database.grantees é mapeado para o campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.displayName é mapeado para o campo UDM src.resource.attribute.labels.value.Caso contrário, o campo de registo resource.displayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.display_name é mapeado para o campo UDM src.resource.attribute.labels.value.Caso contrário, o campo de registo resource.display_name é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.type é mapeado para o campo src.resource_ancestors.resource_subtype UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.displayName é mapeado para o campo UDM src.resource.attribute.labels.value.Caso contrário, o campo de registo resource.displayName é mapeado para o campo UDM target.resource.attribute.labels.value. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registo resource.display_name é mapeado para o campo UDM src.resource.attribute.labels.value.Caso contrário, o campo de registo resource.display_name é mapeado para o campo UDM target.resource.attribute.labels.value. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registo exfiltration.sources.components é mapeado para o campo UDM src.resource.attribute.labels.value. |
resourceName |
src.resource.name |
Se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registo resourceName é mapeado para o campo UDM src.resource.name. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Se o valor do campo de registo category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registo access.serviceName é mapeado para o campo UDM target.application. |
access.methodName |
target.labels [access_methodName] (descontinuado) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (descontinuado) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (descontinuado) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (descontinuado) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (descontinuado) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (descontinuado) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (descontinuado) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (descontinuado) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (descontinuado) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (descontinuado) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (descontinuado) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (descontinuado) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (descontinuado) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (descontinuado) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registo sourceProperties.properties.projectId é mapeado para o campo UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo sourceProperties.properties.zone é mapeado para o campo target.resource.attribute.cloud.availability_zone UDM. |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registo canonicalName através de um padrão Grok.Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM metadata.product_log_id. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM src.resource.attribute.labels.key/value [finding_id]. Se o valor do campo de registo category for igual a um dos seguintes valores, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM src.resource.product_object_id. Se o valor do campo de registo category for igual a um dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM src.resource.attribute.labels.key/value [source_id]. Se o valor do campo de registo category for igual a um dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registo finding_id não estiver vazio, o campo de registo finding_id é mapeado para o campo UDM target.resource.attribute.labels.key/value [finding_id]. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o finding_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM target.resource.product_object_id. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registo source_id não estiver vazio, o campo de registo source_id é mapeado para o campo UDM target.resource.attribute.labels.key/value [source_id]. Se o valor do campo de registo category não for igual a nenhum dos seguintes valores, o source_id é extraído do campo de registo canonicalName através de um padrão Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registo category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registo exfiltration.targets.components é mapeado para o campo UDM target.resource.attribute.labels.key/value. |
resourceName |
target.resource.name |
Se o valor do campo de registo category for igual a Brute Force: SSH, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registo category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registo resourceName é mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type é definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registo category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registo exfiltration.target.name é mapeado para o campo UDM target.resource.name.Caso contrário, o campo de registo resourceName é mapeado para o campo UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Se o valor do campo de registo sourceProperties.Header_Signature.name for igual a RegionCode, o campo de registo sourceProperties.Header_Signature.significantValues.value é mapeado para o campo UDM principal.location.country_or_region.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Se o valor do campo de registo sourceProperties.Header_Signature.name for igual a RemoteHost, o campo de registo sourceProperties.Header_Signature.significantValues.value é mapeado para o campo UDM principal.ip.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Se o valor do campo de registo sourceProperties.Header_Signature.name for igual a UserAgent, o campo de registo sourceProperties.Header_Signature.significantValues.value é mapeado para o campo UDM network.http.user_agent.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Se o valor do campo de registo sourceProperties.Header_Signature.name for igual a RequestUriPath, o campo de registo sourceProperties.Header_Signature.significantValues.value é mapeado para o campo UDM principal.url.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.compromised_account é mapeado para o campo UDM principal.user.userid e o campo UDM principal.user.account_type é definido como SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.project_identifier é mapeado para o campo UDM principal.resource.product_object_id.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.private_key_identifier é mapeado para o campo UDM principal.user.attribute.labels.value.
|
sourceProperties.action_taken |
principal.labels [action_taken] (descontinuado) |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.action_taken é mapeado para o campo UDM principal.labels.value.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.action_taken é mapeado para o campo UDM additional.fields.value.
|
sourceProperties.finding_type |
principal.labels [finding_type] (descontinuado) |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.finding_type é mapeado para o campo UDM principal.labels.value.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.finding_type é mapeado para o campo UDM additional.fields.value.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.url é mapeado para o campo UDM principal.user.attribute.labels.value.
|
sourceProperties.security_result.summary |
security_result.summary |
Se o valor do campo de registo category for igual a account_has_leaked_credentials, o campo de registo sourceProperties.security_result.summary é mapeado para o campo UDM security_result.summary.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
O que se segue?
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.