Coletar descobertas do Security Command Center
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar registros do Security Command Center configurando o SCC e ingerindo descobertas no Google Security Operations. Este documento também lista os eventos compatíveis.
Para mais informações, consulte Ingestão de dados no Google Security Operations e Exportação de descobertas do Security Command Center para o Google Security Operations. Uma implantação típica consiste no Security Command Center e no feed do Google Security Operations configurados para enviar registros ao Google Security Operations. Cada implantação de cliente pode ser diferente e mais complexa.
A implantação contém os seguintes componentes:
Google Cloud: o sistema a ser monitorado em que o Security Command Center está instalado.
Descobertas do Event Threat Detection do Security Command Center: coleta informações da fonte de dados e gera descobertas.
Google Security Operations: retém e analisa os registros do Security Command Center.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador do Security Command Center com os seguintes rótulos de ingestão:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Configurar o Security Command Center e o Google Cloud para enviar descobertas ao Google Security Operations
Verifique se todos os sistemas na implantação estão configurados no fuso horário UTC.
Ative a ingestão de descobertas do Security Command Center.
Descobertas compatíveis do Event Threat Detection
Esta seção lista as descobertas compatíveis do Event Threat Detection. Para informações sobre as regras e descobertas do Event Threat Detection do Security Command Center, consulte Regras do Event Threat Detection.
| Nome de descoberta | Descrição |
|---|---|
| Verificação ativa: Log4j vulnerável a RCE | Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciados por verificadores de vulnerabilidade do Log4j compatíveis. |
| Força bruta: SSH | Detecção da força bruta do SSH em um host |
| Acesso às credenciais: participante externo adicionado ao grupo privilegiado | Detecta quando um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). Uma descoberta só será gerada se o grupo ainda não tiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google. |
| Acesso às credenciais: grupo privilegiado aberto para público | Detecta quando um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google. |
| Acesso às credenciais: papel confidencial concedido ao grupo híbrido | Detecta quando papéis sensíveis são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google. |
| Evasão de defesa: modificar o VPC Service Control | Detecta uma mudança em um perímetro atual do VPC Service Controls que levaria a uma redução na proteção oferecida por ele. |
| Descoberta: pode receber verificações de objetos sensíveis do KubernetesVisualização | Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no Google Kubernetes Engine (GKE) ela pode consultar usando o comando kubectl auth can-i get. |
| Descoberta: autoinvestigação da conta de serviço | Detecção de uma credencial de conta de serviço do Identity and Access Management (IAM) usada para investigar os papéis e as permissões associados à mesma conta de serviço. |
| Evasão: acesso de proxy de anonimização | Detecção de modificações no serviço Google Cloud originadas de endereços IP de proxy anônimo, como endereços IP de Tor. |
| Exfiltração: exfiltração de dados do BigQuery | Detecta os seguintes cenários:
|
| Exfiltração: extração de dados do BigQuery | Detecta os seguintes cenários:
|
| Exfiltração: dados do BigQuery para o Google Drive | Detecta os seguintes cenários:
Um recurso do BigQuery pertencente à organização protegida é salvo, por meio de operações de extração, em uma pasta do Google Drive. |
| Exfiltração: exfiltração de dados do Cloud SQL | Detecta os seguintes cenários:
|
| Exfiltração: backup de restauração do Cloud SQL para organização externa | Detecta quando o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização. |
| Exfiltração: concessão privilegiada demais do SQL do Cloud SQL | Detecta quando um usuário ou papel do Cloud SQL Postgres recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema. |
| Defesa por danos: autenticação forte desativada | A verificação em duas etapas foi desativada para a organização. |
| Defesa de danos: verificação em duas etapas desativada | Um usuário desativou a verificação em duas etapas. |
| Acesso inicial: conta desativada | A conta de um usuário foi suspensa devido à atividade suspeita. |
| Acesso inicial: vazamento de senha desativado | A conta de um usuário foi desativada porque foi detectado um vazamento de senha. |
| Acesso inicial: ataque baseado no governo | Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador. |
| Acesso inicial: tentativa de comprometimento de Log4j | Detecta buscas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. As descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento. |
| Acesso inicial: login suspeito bloqueado | Um login suspeito na conta de um usuário foi detectado e bloqueado. |
| Malware Log4j: domínio inválido | Detecção de tráfego do Log4j com base em uma conexão ou pesquisa de um domínio conhecido usado em ataques do Log4j. |
| Malware Log4j: IP inválido | Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j. |
| Malware: domínio inválido | Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido. |
| Malware: IP inválido | Detecção de malware com base em uma conexão com um endereço IP inválido conhecido. |
| Malware: domínio criptografado de criptomineração | Detecção de criptomineração baseada em uma conexão ou uma pesquisa de um domínio de mineração de criptomoedas conhecido. |
| Malware: criptomoedas com IP inválido | Detecção de mineração de criptomoedas com base em uma conexão com um endereço IP de mineração conhecido. |
| DoS de saída | Detecção de tráfego de negação de serviço de saída |
| Persistência: chave SSH adicionada pelo administrador do Compute Engine | Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
| Persistência: script de inicialização adicionado pelo administrador do Compute Engine | Detecção de uma modificação no valor do script de inicialização de metadados de instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
| Persistência: concessão anômala de IAM | Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Esse detector usa as políticas do IAM de uma organização como contexto. Se ocorrer uma concessão de IAM sensível a um membro externo e houver menos de três políticas do IAM semelhantes a ela, esse detector vai gerar uma descoberta. |
| Persistência: novo método de API (prévia) | Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM. |
| Persistência: nova região geográfica | Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud a partir de locais anômalos, com base na geolocalização dos endereços IP solicitantes. |
| Persistência: novo user agent | Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos. |
| Persistência: alternância de SSO | A configuração Ativar SSO (logon único) na conta de administrador foi desativada. |
| Persistência: configurações de SSO alteradas | As configurações de SSO da conta de administrador foram alteradas. |
| Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes (prévia) | Para escalonar o privilégio, uma pessoa mal-intencionada tentou modificar os objetos cluster-admin ClusterRole e ClusterRoleBinding usando uma solicitação PUT ou PATCH. |
| Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre (prévia) | Uma pessoa possivelmente maliciosa criou uma solicitação de assinatura de certificado (CSR, na sigla em inglês) mestre do Kubernetes, que dá acesso de cluster-admin. |
| Encaminhamento de privilégios: criação de vinculações confidenciais do Kubernetes (prévia) | Uma pessoa mal-intencionada tentou criar novos objetos RoleBinding ou ClusterRoleBinding de cluster-admin para escalonar o privilégio. |
| Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidasPré-lançamento | Uma pessoa mal-intencionada consultou uma solicitação de assinatura de certificado (CSR) com o comando kubectl usando credenciais de inicialização comprometidas. |
| Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes (prévia) | Uma pessoa mal-intencionada criou pods contendo contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.
Um contêiner privilegiado tem o campo "privileged" definido como "true". Um contêiner com recursos de escalonamento de privilégios tem o campo "allowPrivilegeEscalation" definido como "true". |
| Acesso inicial: criação de chave em uma conta de serviço inativa | Detecta eventos em que uma chave é criada para uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. |
| Árvore de processos | O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não deve gerar um processo de shell, o detector vai acionar uma descoberta. |
| Shell filho inesperado | O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não deve gerar um processo de shell, o detector vai acionar uma descoberta. |
| Execução: binário malicioso adicionado executado | O detector procura um binário em execução que não fazia parte da imagem do contêiner original e foi identificado como malicioso com base em informações sobre ameaças. |
| Execução: binário malicioso modificado executado | O detector procura um binário em execução que foi incluído originalmente na imagem do contêiner, mas modificado durante o tempo de execução e identificado como malicioso com base em informações de ameaças. |
| Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador | Detecta quando uma solicitação delegada anômala em várias etapas é encontrada para uma atividade administrativa. |
| Conta de implantação forçada usada: break_glass_account | Detecta o uso de uma conta de acesso emergencial (implantação forçada) |
| Domínio inválido configurável: APT29_Domains | Detecta uma conexão com um nome de domínio especificado |
| Concessão de papel inesperada: papéis proibidos | Detecta quando um papel especificado é concedido a um usuário |
| IP inválido configurável | Detecta uma conexão com um endereço IP especificado |
| Tipo inesperado de instância do Compute Engine | Detecta a criação de instâncias do Compute Engine que não correspondem a um tipo especificado de instância ou configuração. |
| Imagem de origem inesperada do Compute Engine | Detecta a criação de uma instância do Compute Engine com uma imagem ou família de imagens que não corresponde a uma lista especificada |
| Região inesperada do Compute Engine | Detecta a criação de uma instância do Compute Engine em uma região que não está em uma lista especificada. |
| Papel personalizado com permissão proibida | Detecta quando um papel personalizado com qualquer uma das permissões do IAM especificadas é concedido a um principal. |
| Chamada de API do Cloud inesperada | Detecta quando um principal especificado chama um método especificado em um recurso especificado. Uma descoberta só é gerada se todas as expressões regulares forem correspondentes em uma única entrada de registro. |
Descobertas de GCP_SECURITYCENTER_ERROR compatíveis
Confira o mapeamento da UDM na tabela Referência de mapeamento de campos: ERRO.
| Nome de descoberta | Descrição |
|---|---|
| VPC_SC_RESTRICTION | O Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço, e a conta de serviço do Security Command Center não tem acesso a ele. |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | O projeto configurado para exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging. |
| API_DISABLED | Uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center. |
| KTD_IMAGE_PULL_FAILURE | O Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (baixada) de gcr.io, o host de imagem do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection. |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes necessário para o Container Threat Detection.
Quando visualizados no console Google Cloud , os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | O Container Threat Detection não pode gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster. |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. |
Descobertas compatíveis do GCP_SECURITYCENTER_OBSERVATION
Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campos: OBSERVATION.
| Nome de descoberta | Descrição |
|---|---|
| Persistência: chave SSH do projeto adicionada | Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias. |
| Persistência: adicionar papel sensível | Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias. |
Descobertas GCP_SECURITYCENTER_UNSPECIFIED compatíveis
Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campos: UNSPECIFIED.
| Nome de descoberta | Descrição |
|---|---|
| OPEN_FIREWALL | Um firewall está configurado para ser aberto ao acesso público. |
Descobertas compatíveis do GCP_SECURITYCENTER_VULNERABILITY
É possível encontrar o mapeamento da UDM na tabela Referência de mapeamento de campos: VULNERABILIDADE.
| Nome de descoberta | Descrição |
|---|---|
| DISK_CSEK_DISABLED | Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para instruções, consulte Detector de casos especiais. |
| ALPHA_CLUSTER_ENABLED | Os recursos do cluster Alfa estão ativados para um cluster do GKE. |
| AUTO_REPAIR_DISABLED | O recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. |
| AUTO_UPGRADE_DISABLED | O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. |
| CLUSTER_SHIELDED_NODES_DISABLED | Os nós protegidos do GKE não estão ativados em um cluster |
| COS_NOT_USED | As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. |
| INTEGRITY_MONITORING_DISABLED | O monitoramento de integridade está desativado para um cluster do GKE. |
| IP_ALIAS_DISABLED | Um cluster do GKE foi criado com intervalos de IP de alias desativados. |
| LEGACY_METADATA_ENABLED | Os metadados legados são ativados nos clusters do GKE. |
| RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
| DATAPROC_IMAGE_OUTDATED | Um cluster do Dataproc foi criado com uma versão de imagem do Dataproc afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). |
| PUBLIC_DATASET | Um conjunto de dados está configurado para ser aberto ao acesso público. |
| DNSSEC_DISABLED | O DNSSEC está desativado para zonas do Cloud DNS. |
| RSASHA1_FOR_SIGNING | RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. |
| REDIS_ROLE_USED_ON_ORG | Um papel do Redis IAM é atribuído no nível da organização ou da pasta. |
| KMS_PUBLIC_KEY | Uma chave criptográfica do Cloud KMS é acessível publicamente. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | A flag de banco de dados para autenticação do banco de dados contido de uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag de banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_EXTERNAL_SCRIPTS_ENABLED | A flag de banco de dados "scripts externos ativados" de uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_LOCAL_INFILE | A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está definida como desativada. |
| SQL_LOG_ERROR_VERBOSITY | A flag do banco de dados log_error_verbosity para uma instância do Cloud SQL para PostgreSQL não está definida como padrão ou uma opção mais rigorosa. |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | A flag de banco de dados "log_min_duration_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como "-1". |
| SQL_LOG_MIN_ERROR_STATEMENT | A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado. |
| SQL_LOG_MIN_MESSAGES | A flag log_min_messages do banco de dados para uma instância do Cloud SQL para PostgreSQL não está definida como aviso. |
| SQL_LOG_EXECUTOR_STATS_ENABLED | A flag de banco de dados log_executor_status de uma instância do Cloud SQL para PostgreSQL não está definida como "desativada". |
| SQL_LOG_HOSTNAME_ENABLED | A flag de banco de dados "log_hostname" de uma instância do Cloud SQL para PostgreSQL não está definida como "desativada". |
| SQL_LOG_PARSER_STATS_ENABLED | A flag de banco de dados log_parser_stats de uma instância do Cloud SQL para PostgreSQL não está definida como desativada. |
| SQL_LOG_PLANNER_STATS_ENABLED | A flag de banco de dados log_planner_stats de uma instância do Cloud SQL para PostgreSQL não está definida como "desativada". |
| SQL_LOG_STATEMENT_STATS_ENABLED | A flag do banco de dados log_statement_stats de uma instância do Cloud SQL para PostgreSQL não está definida como "desativada". |
| SQL_LOG_TEMP_FILES | A flag do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0". |
| SQL_REMOTE_ACCESS_ENABLED | A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_SKIP_SHOW_DATABASE_DISABLED | A flag de banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada. |
| SQL_TRACE_FLAG_3625 | A flag de banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada. |
| SQL_USER_CONNECTIONS_CONFIGURED | A flag do banco de dados de conexões dos usuários para uma instância do Cloud SQL para SQL Server está configurada. |
| SQL_USER_OPTIONS_CONFIGURED | A flag de banco de dados para opções dos usuários de uma instância do SQL Server do Cloud SQL está configurada. |
| SQL_WEAK_ROOT_PASSWORD | Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| PUBLIC_LOG_BUCKET | Um bucket de armazenamento usado como coletor de registros é acessível publicamente. |
| ACCESSIBLE_GIT_REPOSITORY | Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. |
| ACCESSIBLE_SVN_REPOSITORY | Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. |
| ACCESSIBLE_ENV_FILE | Um arquivo ENV é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao arquivo ENV. |
| CACHEABLE_PASSWORD_INPUT | As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas. |
| CLEAR_TEXT_PASSWORD | As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Para caracteres curinga de subdomínio, adicione o ponto no domínio raiz ao início, por exemplo, .endsWith("".google.com""). |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin", por exemplo, .equals("".google.com""). |
| INVALID_CONTENT_TYPE | Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto. |
| INVALID_HEADER | Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. |
| MISMATCHING_SECURITY_HEADER_VALUES | Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. |
| MISSPELLED_SECURITY_HEADER_NAME | Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. |
| MIXED_CONTENT | Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. |
| OUTDATED_LIBRARY | Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. |
| SERVER_SIDE_REQUEST_FORGERY | Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações. |
| SESSION_ID_LEAK | Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho de solicitação do referenciador. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva. |
| SQL_INJECTION | Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL. |
| STRUTS_INSECURE_DESERIALIZATION | Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. |
| XSS | Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. |
| XSS_ANGULAR_CALLBACK | Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. |
| XSS_ERROR | Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. |
| XXE_REFLECTED_FILE_LEAKAGE | Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas. |
| BASIC_AUTHENTICATION_ENABLED | O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Os clusters do Kubernetes precisam ser criados com certificados do cliente ativados. |
| LABELS_NOT_USED | Rótulos podem ser usados para decompor informações de faturamento |
| PUBLIC_STORAGE_OBJECT | A ACL de objetos de armazenamento não pode conceder acesso a allUsers. |
| SQL_BROAD_ROOT_LOGIN | O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados |
| WEAK_CREDENTIALS | Esse detector verifica credenciais fracas usando métodos de força bruta ncrack.
Serviços compatíveis: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
| ELASTICSEARCH_API_EXPOSED | A API Elasticsearch permite que os autores de chamadas realizem consultas arbitrárias, escrevam e executem scripts e adicionem mais documentos ao serviço. |
| EXPOSED_GRAFANA_ENDPOINT | No Grafana 8.0.0 a 8.3.0, os usuários podem acessar sem autenticação um endpoint com uma vulnerabilidade de travessia de diretório que permite a qualquer usuário ler qualquer arquivo no servidor sem autenticação. Para mais informações, consulte CVE-2021-43798. |
| EXPOSED_METABASE | As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade no suporte personalizado ao mapa GeoJSON e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277. |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Esse detector verifica se os endpoints sensíveis do Atuador dos aplicativos do Spring Boot estão expostos. Alguns dos endpoints padrão, como /heapdump, podem expor informações sensíveis. Outros endpoints, como /env, podem levar à execução remota de código. No momento, apenas /heapdump é verificado. |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado. |
| JAVA_JMX_RMI_EXPOSED | A Java Management Extension (JMX) permite realizar monitoramento e diagnósticos remotos para aplicativos Java. A execução de JMX com um endpoint de proteção de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e use-o para criar novos MBeans a partir de URLs arbitrários. |
| JUPYTER_NOTEBOOK_EXPOSED_UI | Esse detector verifica se um Jupyter Notebook não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Jupyter Notebook não autenticado coloca a VM de hospedagem em risco de execução remota de código. |
| KUBERNETES_API_EXPOSED | A API Kubernetes é exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes. |
| UNFINISHED_WORDPRESS_INSTALLATION | Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação incompleta do WordPress expõe a página /wp-admin/install.php, que permite que um invasor defina a senha do administrador e, possivelmente, comprometa o sistema. |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Esse detector verifica se há uma instância não autenticada do Jenkins enviando um ping de sondagem para o endpoint /view/all/newJob como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário createItem, que permite a criação de jobs arbitrários que podem levar à execução remota de código. |
| APACHE_HTTPD_RCE | Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz do documento esperada e veja a origem de arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: |
| APACHE_HTTPD_SSRF | Os invasores podem criar um URI para o servidor da Web Apache que faz com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: |
| CONSUL_RCE | Os invasores podem executar códigos arbitrários em um servidor do Consul porque a instância do Consul está configurada com -enable-script-checks definido como "true" e a API HTTP do Consul não é segura e acessível pela rede. No Consul 0.9.0 e em versões anteriores, as verificações de script são ativadas por padrão. Para mais informações, consulte Como proteger o Consul contra riscos de RCE em configurações específicas. Para verificar essa vulnerabilidade, o Rapid Vulnerability Detection registra um serviço na instância do Consul usando o endpoint REST /v1/health/service, que executa uma destas ações: * Um comando curl para um servidor remoto fora da rede. Um invasor pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. O Rapid Vulnerability Detection verifica a saída do comando usando o endpoint REST /v1/health/service. * Após a verificação, o Rapid Vulnerability Detection faz a limpeza e cancela o registro do serviço usando o endpoint REST /v1/agent/service/deregister/. |
| DRUID_RCE | O Apache Druid inclui a capacidade de executar códigos JavaScript fornecidos pelo usuário incorporados em vários tipos de solicitações. Essa funcionalidade é destinada para uso em ambientes de alta confiança e está desativada por padrão. Entretanto, no Druid 0.20.0 e versões anteriores, um usuário autenticado pode enviar uma solicitação especialmente elaborada que força o Druid a executar um código JavaScript fornecido pelo usuário para essa solicitação, independentemente da configuração do servidor. Isso pode ser usado para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhe da CVE-2021-25646. |
| DRUPAL_RCE | As versões do Drupal anteriores à 7.58, 8.x anteriores à 8.3.9, 8.4.x anteriores à 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota de código em solicitações AJAX da API Form. As versões do Drupal 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota de código quando o módulo RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada. |
| FLINK_FILE_DISCLOSURE | Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST do processo do JobManager. O acesso é restrito a arquivos acessíveis pelo processo do JobManager. |
| GITLAB_RCE | Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos. |
| GoCD_RCE | No GoCD 21.2.0 e anteriores, há um endpoint que pode ser acessado sem autenticação. Esse endpoint tem uma vulnerabilidade de travessia de diretório que permite ao usuário ler qualquer arquivo no servidor sem autenticação. |
| JENKINS_RCE | As versões 2.56 e anteriores do Jenkins e as versões 2.46.1 LTS e anteriores são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java serializado e malicioso. |
| JOOMLA_RCE | As versões 1.5.x, 2.x e 3.x anteriores à 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho elaborado que contém objetos PHP serializados. As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado elaborado. |
| LOG4J_RCE | No Apache Log4j2 2.14.1 e anteriores, os recursos do JNDI usados em configurações, mensagens de registro e parâmetros não são protegidos contra LDAP controlado por invasor e outros endpoints relacionados ao JNDI. Para mais informações, consulte CVE-2021-44228. |
| MANTISBT_PRIVILEGE_ESCALATION | O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado fornecendo um valor confirm_hash vazio para verify.php. |
| OGNL_RCE | As instâncias do servidor e data center do Confluence contêm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute código arbitrário. Para mais informações, consulte CVE-2021-26084. |
| OPENAM_RCE | O servidor OpenAM 14.6.2 e anteriores e o servidor ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não requer autenticação, e a execução remota de código pode ser acionada com o envio de uma única solicitação /ccversion/* elaborada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464. |
| ORACLE_WEBLOGIC_RCE | Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade fácil de explorar permite que um invasor não autenticado com acesso de rede por HTTP comprometa um Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882. |
| PHPUNIT_RCE | As versões do PHPUnit anteriores à 5.6.3 permitem a execução remota de código com uma única solicitação POST não autenticada. |
| PHP_CGI_RCE | As versões do PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota de código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere = (sinal de igual). Isso permite que invasores adicionem opções de linha de comando que são executadas no servidor. |
| PORTAL_RCE | A desserialização de dados não confiáveis nas versões do Liferay Portal anteriores ao 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por meio dos serviços da Web JSON. |
| REDIS_RCE | Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores poderão executar código arbitrário. |
| SOLR_FILE_EXPOSED | A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode elaborar uma solicitação diretamente para ativar uma configuração específica e, por fim, implementar uma falsificação de solicitação do lado do servidor (SSRF) ou ler arquivos arbitrários. |
| SOLR_RCE | As versões 5.0.0 a 8.3.1 do Apache Solr são vulneráveis à execução remota de código pelo VelocityResponseWriter se params.resource.loader.enabled estiver definido como "true". Isso permite que invasores criem um parâmetro que contenha um modelo de velocidade malicioso. |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | As versões do Apache Tomcat 9.x anteriores a 9.0.31, 8.x anteriores a 8.5.51, 7.x anteriores a 7.0.100 e todas as versões 6.x são vulneráveis à divulgação de código-fonte e configuração por meio de um conector de protocolo Apache JServ exposto. Em alguns casos, ele é aproveitado para executar código remoto se o upload de arquivos for permitido. |
| VBULLETIN_RCE | Os servidores vBulletin que executam as versões 5.0.0 até 5.5.4 estão vulneráveis à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação de string de rota. |
| VCENTER_RCE | As versões do VMware vCenter Server 7.x anteriores à 7.0 U1c, 6.7 anteriores à 6.7 U3l e 6.5 anteriores à 6.5 U3n são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor que faz o upload de um arquivo do Java Server Pages criado para um diretório acessível pela Web e, em seguida, aciona a execução desse arquivo. |
| WEBLOGIC_RCE | Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade de execução de código remoto, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para mais informações, consulte CVE-2020-14883. |
| OS_VULNERABILITY | O VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado em uma VM do Compute Engine. |
| UNUSED_IAM_ROLE | O recomendador do IAM detectou uma conta de usuário com um papel do IAM que não foi usado nos últimos 90 dias. |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. |
Descobertas de GCP_SECURITYCENTER_MISCONFIGURATION compatíveis
É possível encontrar o mapeamento da UDM na tabela Referência de mapeamento de campos: MISCONFIGURATION.
| Nome de descoberta | Descrição |
|---|---|
| API_KEY_APIS_UNRESTRICTED | Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. |
| API_KEY_APPS_UNRESTRICTED | Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável |
| API_KEY_EXISTS | Um projeto está usando chaves de API em vez da autenticação padrão. |
| API_KEY_NOT_ROTATED | A chave de API não é alternada há mais de 90 dias |
| PUBLIC_COMPUTE_IMAGE | Uma imagem do Compute Engine pode ser acessada publicamente. |
| CONFIDENTIAL_COMPUTING_DISABLED | A Computação confidencial está desativada em uma instância do Compute Engine. |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto. |
| COMPUTE_SECURE_BOOT_DISABLED | Esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. |
| DEFAULT_SERVICE_ACCOUNT_USED | Uma instância está configurada para usar a conta de serviço padrão. |
| FULL_API_ACCESS | Uma instância está configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. |
| OS_LOGIN_DISABLED | O Login do SO está desativado nesta instância. |
| PUBLIC_IP_ADDRESS | Uma instância tem um endereço IP público. |
| SHIELDED_VM_DISABLED | A VM protegida está desativada nesta instância. |
| COMPUTE_SERIAL_PORTS_ENABLED | As portas seriais de uma instância estão ativadas, o que permite conexões com o console serial da instância. |
| DISK_CMEK_DISABLED | Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| HTTP_LOAD_BALANCER | Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. |
| IP_FORWARDING_ENABLED | O encaminhamento de IP está ativado nas instâncias. |
| WEAK_SSL_POLICY | Uma instância tem uma política de SSL fraca. |
| BINARY_AUTHORIZATION_DISABLED | A autorização binária está desativada em um cluster do GKE. |
| CLUSTER_LOGGING_DISABLED | A geração de registros não está ativada para um cluster do GKE. |
| CLUSTER_MONITORING_DISABLED | O monitoramento está desativado nos clusters do GKE. |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | A criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. |
| INTRANODE_VISIBILITY_DISABLED | A visibilidade intranós é desativada para um cluster do GKE. |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. |
| NETWORK_POLICY_DISABLED | A política de rede está desativada nos clusters do GKE. |
| NODEPOOL_SECURE_BOOT_DISABLED | A Inicialização segura está desativada para um cluster do GKE. |
| OVER_PRIVILEGED_ACCOUNT | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. |
| OVER_PRIVILEGED_SCOPES | Uma conta de serviço do nó tem escopos de acesso amplos. |
| POD_SECURITY_POLICY_DISABLED | O PodSecurityPolicy está desativado em um cluster do GKE. |
| PRIVATE_CLUSTER_DISABLED | Um cluster do GKE tem um cluster particular desativado. |
| WORKLOAD_IDENTITY_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
| LEGACY_AUTHORIZATION_ENABLED | A autorização legada está ativada em clusters do GKE. |
| NODEPOOL_BOOT_CMEK_DISABLED | Os discos de inicialização nesse pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| WEB_UI_ENABLED | A IU da Web do GKE (painel) está ativada. |
| AUTO_REPAIR_DISABLED | O recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. |
| AUTO_UPGRADE_DISABLED | O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. |
| CLUSTER_SHIELDED_NODES_DISABLED | Os nós protegidos do GKE não estão ativados em um cluster |
| RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
| BIGQUERY_TABLE_CMEK_DISABLED | Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. |
| DATASET_CMEK_DISABLED | Um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar. |
| EGRESS_DENY_RULE_NOT_SET | Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. |
| FIREWALL_RULE_LOGGING_DISABLED | A geração de registros de regras de firewall está desativada. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede. |
| OPEN_CASSANDRA_PORT | Um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico. |
| OPEN_SMTP_PORT | Um firewall está configurado para ter uma porta SMTP aberta que permite acesso genérico. |
| OPEN_REDIS_PORT | Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. |
| OPEN_POSTGRESQL_PORT | Um firewall está configurado para ter uma porta PostgreSQL aberta que permite acesso genérico. |
| OPEN_POP3_PORT | Um firewall está configurado para ter uma porta POP3 aberta que permite acesso genérico. |
| OPEN_ORACLEDB_PORT | Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico. |
| OPEN_NETBIOS_PORT | Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico. |
| OPEN_MYSQL_PORT | Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico. |
| OPEN_MONGODB_PORT | Um firewall está configurado para ter uma porta MONGODB aberta que permite acesso genérico. |
| OPEN_MEMCACHED_PORT | Um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. |
| OPEN_LDAP_PORT | Um firewall está configurado para ter uma porta LDAP aberta que permite acesso genérico. |
| OPEN_FTP_PORT | Um firewall está configurado para ter uma porta FTP aberta que permite acesso genérico. |
| OPEN_ELASTICSEARCH_PORT | Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. |
| OPEN_DNS_PORT | Um firewall está configurado para ter uma porta DNS aberta que permite acesso genérico. |
| OPEN_HTTP_PORT | Um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. |
| OPEN_DIRECTORY_SERVICES_PORT | Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. |
| OPEN_CISCOSECURE_WEBSM_PORT | Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico. |
| OPEN_RDP_PORT | Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico. |
| OPEN_TELNET_PORT | Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico. |
| OPEN_FIREWALL | Um firewall está configurado para ser aberto ao acesso público. |
| OPEN_SSH_PORT | Um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. |
| SERVICE_ACCOUNT_ROLE_SEPARATION | Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". |
| NON_ORG_IAM_MEMBER | Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, no momento, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Um usuário tem o papel de Usuário da conta de serviço ou Criador de token da conta de serviço no nível do projeto, e não para uma conta de serviço específica. |
| ADMIN_SERVICE_ACCOUNT | Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | Uma chave da conta de serviço não é rotacionada há mais de 90 dias. |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | Um usuário gerencia uma chave de conta de serviço. |
| PRIMITIVE_ROLES_USED | Um usuário tem o papel básico Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não devem ser usados. |
| KMS_ROLE_SEPARATION | A separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: criptografador/descriptografador de CryptoKey, criptografador ou descriptografador. |
| OPEN_GROUP_IAM_MEMBER | Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. |
| KMS_KEY_NOT_ROTATED | A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias |
| KMS_PROJECT_HAS_OWNER | Um usuário tem permissões de proprietário em um projeto com chaves criptográficas. |
| TOO_MANY_KMS_USERS | Há mais de três usuários de chaves criptográficas. |
| OBJECT_VERSIONING_DISABLED | O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. |
| LOCKED_RETENTION_POLICY_NOT_SET | Uma política de retenção bloqueada não está definida para os registros. |
| BUCKET_LOGGING_DISABLED | Há um bucket de armazenamento sem a geração de registros ativada. |
| LOG_NOT_EXPORTED | Há um recurso que não tem um coletor de registros apropriado configurado. |
| AUDIT_LOGGING_DISABLED | A geração de registros de auditoria foi desativada para este recurso. |
| MFA_NOT_ENFORCED | Há usuários que não estão usando a verificação em duas etapas. |
| ROUTE_NOT_MONITORED | As métricas e os alertas de registros não estão configurados para monitorar as alterações na rota da rede VPC. |
| OWNER_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. |
| AUDIT_CONFIG_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar as mudanças na configuração de auditoria. |
| BUCKET_IAM_NOT_MONITORED | As métricas e os alertas de registros não estão configurados para monitorar as mudanças de permissão do IAM do Cloud Storage. |
| CUSTOM_ROLE_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar as mudanças de função personalizada. |
| FIREWALL_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). |
| NETWORK_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC. |
| SQL_INSTANCE_NOT_MONITORED | As métricas e os alertas de registro não estão configurados para monitorar as mudanças na configuração da instância do Cloud SQL. |
| DEFAULT_NETWORK | A rede padrão existe em um projeto. |
| DNS_LOGGING_DISABLED | A geração de registros DNS em uma rede VPC não está ativada. |
| PUBSUB_CMEK_DISABLED | Um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| PUBLIC_SQL_INSTANCE | Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. |
| SSL_NOT_ENFORCED | Uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. |
| AUTO_BACKUP_DISABLED | Um banco de dados do Cloud SQL não tem backups automáticos ativados. |
| SQL_CMEK_DISABLED | Uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| SQL_LOG_CHECKPOINTS_DISABLED | A flag de banco de dados "log_checkpoints" de uma instância do Cloud SQL para PostgreSQL não está definida como "ativada". |
| SQL_LOG_CONNECTIONS_DISABLED | A flag do banco de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
| SQL_LOG_DISCONNECTIONS_DISABLED | A flag de banco de dados "log_disconnections" de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
| SQL_LOG_DURATION_DISABLED | A flag de banco de dados "log_duration" de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
| SQL_LOG_LOCK_WAITS_DISABLED | A flag de banco de dados log_lock_waits de uma instância do Cloud SQL para PostgreSQL não está definida como "on". |
| SQL_LOG_STATEMENT | A flag de banco de dados log_statement de uma instância do Cloud SQL para PostgreSQL não está definida como Ddl (todas as instruções de definição de dados). |
| SQL_NO_ROOT_PASSWORD | Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| SQL_PUBLIC_IP | Um banco de dados do Cloud SQL tem um endereço IP público. |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | A flag de banco de dados para autenticação do banco de dados contido de uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag de banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_LOCAL_INFILE | A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está definida como desativada. |
| SQL_LOG_MIN_ERROR_STATEMENT | A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente. |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado. |
| SQL_LOG_TEMP_FILES | A flag do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0". |
| SQL_REMOTE_ACCESS_ENABLED | A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está definida como "desativada". |
| SQL_SKIP_SHOW_DATABASE_DISABLED | A flag de banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada. |
| SQL_TRACE_FLAG_3625 | A flag de banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada. |
| SQL_USER_CONNECTIONS_CONFIGURED | A flag do banco de dados de conexões dos usuários para uma instância do Cloud SQL para SQL Server está configurada. |
| SQL_USER_OPTIONS_CONFIGURED | A flag de banco de dados para opções dos usuários de uma instância do SQL Server do Cloud SQL está configurada. |
| PUBLIC_BUCKET_ACL | Um bucket do Cloud Storage é acessível publicamente. |
| BUCKET_POLICY_ONLY_DISABLED | O acesso uniforme no nível do bucket, anteriormente chamado de "Somente política do bucket", não está configurado. |
| BUCKET_CMEK_DISABLED | Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. |
| FLOW_LOGS_DISABLED | Há uma sub-rede VPC com registros de fluxo desativados. |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Há sub-redes particulares sem acesso às APIs públicas do Google. |
| kms_key_region_europe | Devido à política da empresa, todas as chaves de criptografia precisam ser armazenadas na Europa. |
| kms_non_euro_region | Devido à política da empresa, todas as chaves de criptografia precisam ser armazenadas na Europa. |
| LEGACY_NETWORK | Existe uma rede legada em um projeto. |
| LOAD_BALANCER_LOGGING_DISABLED | A geração de registros está desativada para o balanceador de carga. |
Descobertas compatíveis de GCP_SECURITYCENTER_POSTURE_VIOLATION
Você encontra o mapeamento da UDM na tabela Referência de mapeamento de campos: VIOLAÇÃO DE POSTURA.
| Nome de descoberta | Descrição |
|---|---|
| SECURITY_POSTURE_DRIFT | Desvio das políticas definidas na postura de segurança. Isso é detectado pelo serviço de postura de segurança. |
| SECURITY_POSTURE_POLICY_DRIFT | O serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura. |
| SECURITY_POSTURE_POLICY_DELETE | O serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. |
| SECURITY_POSTURE_DETECTOR_DRIFT | O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. |
| SECURITY_POSTURE_DETECTOR_DELETE | O serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura. |
Formatos de registros da Central de Segurança compatíveis
O analisador do Security Center é compatível com registros no formato JSON.
Registros de amostra da Central de Segurança compatíveis
Registros de amostra do GCP_SECURITYCENTER_THREAT
- JSON
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }Exemplos de registros de GCP_SECURITYCENTER_MISCONFIGURATION
- JSON
{ "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }Registros de exemplo do GCP_SECURITYCENTER_OBSERVATION
- JSON
{ "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }Exemplos de registros do GCP_SECURITYCENTER_VULNERABILITY
- JSON
{ "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }Registros de amostra de GCP_SECURITYCENTER_ERROR
- JSON
{ "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }Registros de amostra GCP_SECURITYCENTER_UNSPECIFIED
- JSON
{ "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
Referência de mapeamento de campos
Nesta seção, explicamos como o analisador do Google Security Operations mapeia os campos de registro do Security Command Center para os campos do modelo de dados unificado (UDM) do Google Security Operations nos conjuntos de dados.
Referência de mapeamento de campos: campos de registro brutos para campos do UDM
A tabela a seguir lista os campos de registro e os mapeamentos da UDM correspondentes para as descobertas do Event Threat Detection do Security Command Center.
| Campo RawLog | Mapeamento da UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleto) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleto) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleto) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleto) |
Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo about.labels.value da UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo additional.fields.value.string_value da UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleto) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleto) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleto) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleto) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Se o valor do campo de registro message corresponder ao padrão de expressão regular kubernetes, o campo UDM target.resource_ancestors.resource_type será definido como CLUSTER.Caso contrário, se o valor do campo de registro message corresponder à expressão regular kubernetes.*?pods, o campo UDM target.resource_ancestors.resource_type será definido como POD. |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment da UDM está definido como GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo UDM extension.auth.type será definido como SSO. |
|
extension.mechanism |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de UDM extension.mechanism será definido como USERNAME_PASSWORD. |
|
extensions.auth.type |
Se o valor do campo de registro principal.user.user_authentication_status for igual a ACTIVE, o campo de UDM extensions.auth.type será definido como SSO. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de registro sourceProperties.properties.loadBalancerName será mapeado para o campo intermediary.resource.name do UDM. |
|
intermediary.resource.resource_type |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de UDM intermediary.resource.resource_type será definido como BACKEND_SERVICE. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo metadata.product_log_id da UDM.Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo metadata.product_log_id da UDM. |
|
metadata.product_name |
O campo metadata.product_name da UDM está definido como Security Command Center. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
O campo metadata.vendor_name da UDM está definido como Google. |
|
network.application_protocol |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo network.application_protocol da UDM será definido como DNS. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.indicatorContext.asn será mapeado para o campo network.asn do UDM. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.indicatorContext.carrierName será mapeado para o campo network.carrier_name do UDM. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain será mapeado para o campo network.dns_domain da UDM. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass será mapeado para o campo network.dns.answers.class do UDM. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Se o valor do campo de registro category corresponder à expressão regular Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue será mapeado para o campo network.dns.answers.data da UDM. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.domainName será mapeado para o campo network.dns.answers.name do UDM. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.ttl será mapeado para o campo network.dns.answers.ttl do UDM. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseType será mapeado para o campo network.dns.answers.type do UDM. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.authAnswer será mapeado para o campo network.dns.authoritative da UDM. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.queryName será mapeado para o campo network.dns.questions.name da UDM. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.queryType será mapeado para o campo network.dns.questions.type da UDM. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseCode será mapeado para o campo network.dns.response_code da UDM. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent será mapeado para o campo network.http.user_agent do UDM. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.callerUserAgent será mapeado para o campo network.http.user_agent da UDM. |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent será mapeado para o campo network.http.user_agent do UDM. |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Se o valor do campo de registro category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo UDM network.ip_protocol será definido como um dos seguintes valores:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.organizationName será mapeado para o campo network.organization_name da UDM. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod será mapeado para o campo network.session_duration do UDM. |
sourceProperties.properties.sourceIp |
principal.ip |
Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.sourceIp será mapeado para o campo principal.ip da UDM. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo principal.ip do UDM. |
access.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.callerIp será mapeado para o campo principal.ip do UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp será mapeado para o campo principal.ip do UDM. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy, o campo de registro sourceProperties.properties.changeFromBadIp.ip será mapeado para o campo principal.ip do UDM. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.sourceIp será mapeado para o campo principal.ip da UDM. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.srcIp será mapeado para o campo principal.ip do UDM. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, e se o valor do campo de registro sourceProperties.properties.ipConnection.srcIp não for igual a sourceProperties.properties.indicatorContext.ipAddress, o campo de registro sourceProperties.properties.indicatorContext.ipAddress será mapeado para o campo principal.ip da UDM. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.callerIp será mapeado para o campo principal.ip do UDM. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (obsoleto) |
Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.scannerDomain será mapeado para o campo principal.labels.key/value da UDM. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.scannerDomain será mapeado para o campo additional.fields.value.string_value da UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsoleto) |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState será mapeado para o campo principal.labels.key/value e UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState será mapeado para o campo additional.fields.value.string_value do UDM. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.countryCode será mapeado para o campo principal.location.country_or_region da UDM. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location será mapeado para o campo principal.location.country_or_region do UDM. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.job.location será mapeado para o campo principal.location.country_or_region da UDM. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier será mapeado para o campo principal.location.country_or_region da UDM. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation será mapeado para o campo principal.location.name do UDM. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.srcPort será mapeado para o campo principal.port da UDM. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo principal.process.file.full_path da UDM. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink será mapeado para o campo principal.process.file.full_path do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId será mapeado para o campo principal.process.pid do UDM. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.job.jobId será mapeado para o campo principal.process.pid da UDM. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.srcVpc.subnetworkName será mapeado para o campo principal.resource_ancestors.attribute.labels.value da UDM. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.srcVpc.projectId será mapeado para o campo principal.resource_ancestors.attribute.labels.value da UDM. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo principal.resource_ancestors.name da UDM, e o campo principal.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registro message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo principal.resource.attribute.labels.key/value da UDM. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Se o valor do campo de registro sourceProperties.properties.projectId não estiver vazio, o campo de registro sourceProperties.properties.projectId será mapeado para o campo principal.resource.name da UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId será mapeado para o campo principal.resource.name do UDM. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Se o valor do campo de registro category for igual a Malware: Outgoing DoS, o campo de registro sourceProperties.properties.sourceInstanceDetails será mapeado para o campo principal.resource.name do UDM. |
|
principal.user.account_type |
Se o valor do campo de registro access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE.Caso contrário, se o valor do campo de registro access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo UDM principal.user.attribute.labels.key será definido como rawUserAgent, e o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent será mapeado para o campo UDM principal.user.attribute.labels.value. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy, o campo de registro sourceProperties.properties.changeFromBadIp.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive ou Initial Access: Account Disabled Hijacked ou Initial Access: Disabled Password Leak ou Initial Access: Government Based Attack ou Impair Defenses: Strong Authentication Disabled ou Impair Defenses: Two Step Verification Disabled ou Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo principal.user.email_addresses do UDM.Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
access.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography, o campo de registro access.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.vpcViolation.userEmail será mapeado para o campo principal.user.email_addresses do UDM. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo de registro sourceProperties.properties.ssoState será mapeado para o campo principal.user.user_authentication_status do UDM. |
database.userName |
principal.user.userid |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.userName será mapeado para o campo principal.user.userid do UDM. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.threatIntelligenceSource será mapeado para o campo security_result.about.application do UDM. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo security_result.about.ip do UDM. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo security_result.about.resource.name do UDM.Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo security_result.about.resource.name do UDM, e o campo security_result.about.resource_type do UDM será definido como CLOUD_PROJECT. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.allowedServices.serviceName será mapeado para o campo security_result.about.resource.name da UDM, e o campo security_result.about.resource_type da UDM será definido como BACKEND_SERVICE. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.restrictedServices.serviceName será mapeado para o campo security_result.about.resource.name da UDM, e o campo security_result.about.resource_type da UDM será definido como BACKEND_SERVICE. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.accessLevels.policyName será mapeado para o campo security_result.about.resource.name da UDM, e o campo security_result.about.resource_type da UDM será definido como ACCESS_POLICY. |
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registro message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name será definido como security.Se o valor do campo de registro message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name será definido como Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo UDM security_result.action será definido como BLOCK.Se o valor do campo de registro category for igual a Brute Force: SSH e o valor do campo de registro sourceProperties.properties.attempts.authResult for igual a SUCCESS, o campo UDM security_result.action será definido como BLOCK.Caso contrário, o campo UDM security_result.action será definido como BLOCK. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.restrictedResources.action será mapeado para o campo security_result.action_details do UDM. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.restrictedServices.action será mapeado para o campo security_result.action_details do UDM. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.allowedServices.action será mapeado para o campo security_result.action_details do UDM. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.accessLevels.action será mapeado para o campo security_result.action_details do UDM. |
|
security_result.alert_state |
Se o valor do campo de registro state for igual a ACTIVE, o campo UDM security_result.alert_state será definido como ALERTING.Caso contrário, o campo UDM security_result.alert_state será definido como NOT_ALERTING. |
findingClass |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
category |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteInitiator será mapeado para o campo security_result.detection_fields.value da UDM. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteUpdateTimer será mapeado para o campo security_result.detection_fields.value da UDM. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.authResult será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo security_result.detection_fields.key do UDM será definido como sourceProperties_contextUris_relatedFindingUri_url, e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo metadata.url_back_to_product do UDM. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo security_result.detection_fields.key/value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name será mapeado para o campo intermediary.labels.key do UDM. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.description será mapeado para o campo intermediary.labels.value do UDM. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal será mapeado para o campo security_result.detection_fields.value do UDM. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH, o campo UDM security_result.priority será definido como HIGH_PRIORITY.Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for igual a MEDIUM, o campo UDM security_result.priority será definido como MEDIUM_PRIORITY.Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW, o campo UDM security_result.priority será definido como LOW_PRIORITY. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Exfiltration, o campo de registro sourceProperties.properties.vpcViolation.violationReason será mapeado para o campo security_result.summary do UDM. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.query será mapeado para o campo src.process.command_line do UDM. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentName será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.projectDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM. |
parent |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro parent será mapeado para o campo src.resource_ancestors.name do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId será mapeado para o campo src.resource_ancestors.name da UDM, e o campo src.resource_ancestors.resource_type da UDM será definido como TABLE. |
resourceName |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro resourceName será mapeado para o campo src.resource_ancestors.name do UDM. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolder será mapeado para o campo src.resource_ancestors.name do UDM. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo src.resource_ancestors.product_object_id do UDM. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.projectNumber será mapeado para o campo src.resource_ancestors.product_object_id do UDM. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.organizationNumber será mapeado para o campo src.resource_ancestors.product_object_id do UDM. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo src.resource_ancestors.resource_subtype do UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.displayName será mapeado para o campo src.resource.attribute.labels.value do UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo UDM src.resource.attribute.labels.key será definido como grantees, e o campo de registro database.grantees será mapeado para o campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo src.resource.attribute.labels.value da UDM. |
resource.displayName |
principal.hostname |
Se o valor do campo de registro resource.type corresponder ao padrão de expressão regular (?i)google.compute.Instance or google.container.Cluster, o campo de registro resource.displayName será mapeado para o campo principal.hostname da UDM. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo src.resource.attribute.labels.value da UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId será mapeado para o campo src.resource.attribute.labels.value da UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId será mapeado para o campo src.resource.attribute.labels.value da UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri será mapeado para o campo src.resource.attribute.labels.value da UDM. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.backupId será mapeado para o campo src.resource.attribute.labels.value do UDM. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro src.resource.attribute.labels.key/value será mapeado para o campo src.resource.attribute.labels.value da UDM. |
resourceName |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.sources.name será mapeado para o campo src.resource.name do UDM, e o campo de registro resourceName será mapeado para o campo src.resource_ancestors.name do UDM. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo src.resource.name da UDM, e o campo src.resource.resource_subtype da UDM será definido como CloudSQL. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo UDM src.resource.name, e o campo UDM src.resource.resource_subtype será definido como CloudSQL.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource será mapeado para o campo UDM src.resource.name, e o campo UDM src.resource.resource_subtype será definido como CloudSQL. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.sources.name será mapeado para o campo src.resource.name do UDM, e o campo de registro resourceName será mapeado para o campo src.resource_ancestors.name do UDM. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId será mapeado para o campo src.resource.product_object_id da UDM. |
access.serviceName |
target.application |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.serviceName será mapeado para o campo target.application do UDM. |
sourceProperties.properties.serviceName |
target.application |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.serviceName será mapeado para o campo target.application do UDM. |
sourceProperties.properties.domainName |
target.domain.name |
Se o valor do campo de registro category for igual a Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.domainName será mapeado para o campo target.domain.name da UDM. |
sourceProperties.properties.domains.0 |
target.domain.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.domains.0 será mapeado para o campo target.domain.name do UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action será mapeado para o campo target.group.attribute.labels.key/value do UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action será mapeado para o campo target.group.attribute.labels.key/value do UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member será mapeado para o campo target.group.attribute.labels.key/value do UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member será mapeado para o campo target.group.attribute.labels.key/value do UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin será mapeado para o campo target.group.attribute.permissions.name do UDM. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions será mapeado para o campo target.group.attribute.permissions.name do UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName será mapeado para o campo target.group.attribute.roles.name do UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role será mapeado para o campo target.group.attribute.roles.name do UDM. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role será mapeado para o campo target.group.attribute.roles.name do UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName será mapeado para o campo target.group.attribute.roles.name do UDM. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName será mapeado para o campo target.group.attribute.roles.name do UDM. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName será mapeado para o campo target.group.group_display_name do UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName será mapeado para o campo target.group.group_display_name do UDM. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName será mapeado para o campo target.group.group_display_name do UDM. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Se o valor do campo de registro category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.destIp será mapeado para o campo target.ip do UDM. |
access.methodName |
target.labels [access_methodName] (obsoleto) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleto) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleto) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleto) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleto) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleto) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleto) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleto) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleto) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleto) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleto) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleto) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleto) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleto) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (obsoleto) |
Se o valor do campo de registro category for igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.methodName será mapeado para o campo target.labels.value do UDM. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
Se o valor do campo de registro category for igual a Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.methodName será mapeado para o campo additional.fields.value.string_value do UDM. |
sourceProperties.properties.network.location |
target.location.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.network.location será mapeado para o campo target.location.name do UDM. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.destPort será mapeado para o campo target.port da UDM. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.query será mapeado para o campo target.process.command_line do UDM. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
O campo de registro containers.labels.name é mapeado para o campo UDM target.resource_ancestors.attribute.labels.key, e o campo de registro containers.labels.value é mapeado para o campo UDM target.resource_ancestors.attribute.labels.value. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.projectId será mapeado para o campo target.resource_ancestors.attribute.labels.value da UDM. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.subnetworkName será mapeado para o campo target.resource_ancestors.attribute.labels.value da UDM. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.network.subnetworkName será mapeado para o campo target.resource_ancestors.value da UDM. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.network.subnetworkId será mapeado para o campo target.resource_ancestors.value da UDM. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
parent |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
containers.name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource será mapeado para o campo target.resource_ancestors.name do UDM. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource será mapeado para o campo target.resource_ancestors.name do UDM. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.Caso contrário, se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será mapeado para o campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registro sourceProperties.properties.gceInstanceId será mapeado para o campo target.resource_ancestors.product_object_id da UDM, e o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
containers.imageId |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.zone será mapeado para o campo target.resource.attribute.cloud.availability_zone do UDM. |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo metadata.product_log_id da UDM. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo src.resource.attribute.labels.key/value [finding_id] da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo src.resource.product_object_id da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo src.resource.attribute.labels.key/value [source_id] da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo target.resource.attribute.labels.key/value [finding_id] da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo target.resource.product_object_id da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo target.resource.attribute.labels.key/value [source_id] da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId será mapeado para o campo target.resource.attribute.labels.value do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId será mapeado para o campo target.resource.attribute.labels.value do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri será mapeado para o campo target.resource.attribute.labels.value do UDM. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo UDM target.resource.attribute.labels.key será definido como exportScope, e o campo de registro sourceProperties.properties.exportToGcs.exportScope será mapeado para o campo UDM target.resource.attribute.labels.value. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName será mapeado para o campo target.resource.attribute.labels.value da UDM. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri será mapeado para o campo target.resource.attribute.labels.value da UDM. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.metadataKeyOperation será mapeado para o campo target.resource.attribute.labels.key/value da UDM. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.targets.components será mapeado para o campo target.resource.attribute.labels.key/value da UDM. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketAccess será mapeado para o campo target.resource.attribute.permissions.name do UDM. |
sourceProperties.properties.name |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
resourceName |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.instanceDetails |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
exfiltration.targets.name |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo target.resource.name do UDM e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a "Malware: Bad Domain" ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo target.resource.name do UDM, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource.resource_type do UDM será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.attribute.name do UDM e o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo target.resource.name do UDM, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo target.resource.attribute.labels do UDM e o campo target.resource.resource_type do UDM será definido como TABLE.Caso contrário, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.instanceId será mapeado para o campo target.resource.product_object_id do UDM. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.resource_subtype do UDM.Caso contrário, se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo target.resource.resource_subtype do UDM será definido como Privileged Group.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo target.resource.resource_subtype do UDM será definido como BigQuery. |
|
target.resource.resource_type |
Se o valor do campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType corresponder à expressão regular BUCKET, o campo UDM target.resource.resource_type será definido como STORAGE_BUCKET.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo UDM target.resource.resource_type será definido como TABLE. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo target.url do UDM.Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo target.url do UDM. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.gcsUri será mapeado para o campo target.url do UDM. |
sourceProperties.properties.requestUrl |
target.url |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de registro sourceProperties.properties.requestUrl será mapeado para o campo target.url do UDM. |
sourceProperties.properties.policyLink |
target.url |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.policyLink será mapeado para o campo target.url do UDM. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast será mapeado para o campo target.user.attribute.labels.value do UDM. |
sourceProperties.properties.attempts.username |
target.user.userid |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.username será mapeado para o campo target.user.userid do UDM.Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro userid será mapeado para o campo target.user.userid do UDM. |
sourceProperties.properties.principalEmail |
target.user.userid |
Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro userid será mapeado para o campo target.user.userid do UDM. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (obsoleto) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (obsoleto) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsoleto) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsoleto) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Added Binary Executed ou Added Library Loaded, o campo de registro sourceProperties.VM_Instance_Name será mapeado para o campo target.resource_ancestors.name da UDM, e o campo target.resource_ancestors.resource_type da UDM será definido como VIRTUAL_MACHINE. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Se o valor do campo de registro category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo de registro sourceProperties.Backend_Service será mapeado para o campo target.resource.name do UDM, e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Se o valor do campo de registro category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo de UDM target.resource.resource_type será definido como BACKEND_SERVICE.Se o valor do campo de registro category for igual a Configurable Bad Domain, o campo de UDM target.resource.resource_type será definido como VIRTUAL_MACHINE. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : extraiu user_id do campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail. Em seguida, o campo user_id é mapeado para o campo principal.user.userid do UDM. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : extraiu user_id do campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail. Em seguida, o campo user_id é mapeado para o campo principal.user.userid do UDM. |
resourceName |
principal.asset.location.name |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok vai extrair project_name, region, zone_suffix e asset_prod_obj_id do campo de registro resourceName. Em seguida, o campo de registro region será mapeado para o campo principal.asset.location.name da UDM. |
resourceName |
principal.asset.product_object_id |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok vai extrair project_name, region, zone_suffix e asset_prod_obj_id do campo de registro resourceName. Em seguida, o campo de registro asset_prod_obj_id será mapeado para o campo principal.asset.product_object_id da UDM. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok vai extrair project_name, region, zone_suffix e asset_prod_obj_id do campo de registro resourceName. Em seguida, o campo de registro zone_suffix será mapeado para o campo principal.asset.attribute.cloud.availability_zone da UDM. |
resourceName |
principal.asset.attribute.labels[project_name] |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok vai extrair project_name, region, zone_suffix e asset_prod_obj_id do campo de registro resourceName. Em seguida, o campo de registro project_name será mapeado para o campo principal.asset.attribute.labels.value da UDM. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.methodName será mapeado para o campo target.labels da UDM. |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.methodName será mapeado para o campo additional.fields da UDM. |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.serviceName será mapeado para o campo target.labels da UDM. |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.serviceName será mapeado para o campo additional.fields da UDM. |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.attemptTimes será mapeado para o campo target.labels da UDM. |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.attemptTimes será mapeado para o campo additional.fields da UDM. |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.lastOccurredTime será mapeado para o campo target.labels do UDM. |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.lastOccurredTime será mapeado para o campo additional.fields da UDM. |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
Se o valor do campo de registro category contiver um dos seguintes valores, o campo de registro resource.resourcePathString será mapeado para o campo src.resource.attribute.labels[resource_path_string] da UDM.
resource.resourcePathString será mapeado para o campo target.resource.attribute.labels[resource_path_string] do UDM. |
Referência de mapeamento de campo: identificador de evento para tipo de evento
| Identificador de evento | Tipo de evento | Categoria de segurança |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
As tabelas a seguir contêm tipos de eventos e campos do UDM para o Security Command Center: classes de descobertas VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED e POSTURE_VIOLATION.
Categoria VULNERABILITY para tipo de evento UDM
A tabela a seguir lista a categoria VULNERABILITY e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento | Categoria de segurança |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
Categoria MISCONFIGURATION para tipo de evento UDM
A tabela a seguir lista a categoria "MISCONFIGURATION" e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoria OBSERVATION para tipo de evento da UDM
A tabela a seguir lista a categoria "OBSERVATION" e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento |
|---|---|
| Persistência: chave SSH do projeto adicionada | SETTING_MODIFICATION |
| Persistência: adicionar papel sensível | RESOURCE_PERMISSIONS_CHANGE |
| Impacto: instância de GPU criada | USER_RESOURCE_CREATION |
| Impacto: muitas instâncias criadas | USER_RESOURCE_CREATION |
Categoria ERROR para tipo de evento UDM
A tabela a seguir lista a categoria "ERROR" e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoria UNSPECIFIED para tipo de evento da UDM
A tabela a seguir lista a categoria UNSPECIFIED e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento | Categoria de segurança |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoria POSTURE_VIOLATION para o tipo de evento UDM
A tabela a seguir lista a categoria POSTURE_VIOLATION e os tipos de eventos da UDM correspondentes.
| Identificador de evento | Tipo de evento |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Referência de mapeamento de campo: VULNERABILIDADE
A tabela a seguir lista os campos de registro da categoria VULNERABILITY e os campos da UDM correspondentes.
| Campo RawLog | Mapeamento da UDM | Lógica |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| categoria | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | Extraído region de resourceName usando um padrão Grok e mapeado para o campo principal.asset.location.name da UDM. |
| resourceName | principal.asset.product_object_id | Extraído asset_prod_obj_id de resourceName usando um padrão Grok e mapeado para o campo principal.asset.product_object_id da UDM. |
| resourceName | principal.asset.attribute.cloud.availability_zone | Extraído zone_suffix de resourceName usando um padrão Grok e mapeado para o campo principal.asset.attribute.cloud.availability_zone da UDM. |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
Referência de mapeamento de campo: MISCONFIGURATION
A tabela a seguir lista os campos de registro da categoria MISCONFIGURATION e os campos correspondentes da UDM.
| Campo RawLog | Mapeamento da UDM |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Referência de mapeamento de campo: OBSERVATION
A tabela a seguir lista os campos de registro da categoria "OBSERVAÇÃO" e os campos correspondentes da UDM.
| Campo RawLog | Mapeamento da UDM |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
Referência de mapeamento de campo: ERROR
A tabela a seguir lista os campos de registro da categoria ERROR e os campos correspondentes da UDM.
| Campo RawLog | Mapeamento da UDM |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campo: UNSPECIFIED
A tabela a seguir lista os campos de registro da categoria UNSPECIFIED e os campos correspondentes da UDM.
| Campo RawLog | Mapeamento da UDM |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campo: POSTURE_VIOLATION
A tabela a seguir lista os campos de registro da categoria POSTURE_VIOLATION e os campos correspondentes da UDM.
| Campo de registro | Mapeamento da UDM | Lógica |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro finding.resourceName não estiver vazio, o campo de registro finding.resourceName será mapeado para o campo target.resource.name da UDM.O campo project_name é extraído do campo de registro finding.resourceName usando o padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name será mapeado para o campo target.resource_ancestors.name da UDM. |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro resourceName não estiver vazio, o campo de registro resourceName será mapeado para o campo target.resource.name do UDM.O campo project_name será extraído do campo de registro resourceName usando o padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name será mapeado para o campo target.resource_ancestors.name do UDM. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registro finding.cloudProvider contiver um dos seguintes valores, o campo de registro finding.cloudProvider será mapeado para o campo about.resource.attribute.cloud.environment da UDM.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registro cloudProvider contiver um dos seguintes valores, o campo de registro cloudProvider será mapeado para o campo about.resource.attribute.cloud.environment da UDM.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Se o valor do campo de registro resource.cloudProvider contiver um dos seguintes valores, o campo de registro resource.cloudProvider será mapeado para o campo target.resource.attribute.cloud.environment da UDM.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Common Fields: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
A tabela a seguir lista os campos comuns das categorias SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION e os campos correspondentes do UDM.
| Campo RawLog | Mapeamento da UDM | Lógica |
|---|---|---|
compliances.ids |
about.labels [compliance_ids] (obsoleto) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (obsoleto) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (obsoleto) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (obsoleto) |
Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo about.labels.value da UDM. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo additional.fields.value da UDM. |
connections.destinationPort |
about.labels [connections_destination_port] (obsoleto) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (obsoleto) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (obsoleto) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (obsoleto) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
O campo target.resource_ancestors.resource_type da UDM está definido como CLUSTER. |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment da UDM está definido como GOOGLE_CLOUD_PLATFORM. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo metadata.product_log_id da UDM.Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo metadata.product_log_id da UDM. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registro message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo principal.resource.attribute.labels.value da UDM. |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
Se o valor do campo de registro access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE.Caso contrário, se o valor do campo de registro access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro access.principalEmail não estiver vazio e corresponder à expressão regular ^.+@.+$, o campo de registro access.principalEmail será mapeado para o campo principal.user.email_addresses da UDM.access.principalEmail |
access.principalEmail |
principal.user.userid |
Se o valor do campo de registro access.principalEmail não estiver vazio e não corresponder à expressão regular ^.+@.+$, o campo de registro access.principalEmail será mapeado para o campo principal.user.userid da UDM.access.principalEmail |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registro message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name será definido como security.Se o valor do campo de registro message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name será definido como Technical. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Se o valor do campo de registro state for igual a ACTIVE, o campo UDM security_result.alert_state será definido como ALERTING.Caso contrário, o campo UDM security_result.alert_state será definido como NOT_ALERTING. |
findingClass, category |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteInitiator será mapeado para o campo security_result.detection_fields.value da UDM. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteUpdateTimer será mapeado para o campo security_result.detection_fields.value da UDM. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo security_result.detection_fields.key do UDM será definido como sourceProperties_contextUris_relatedFindingUri_url, e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo metadata.url_back_to_product do UDM. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo security_result.detection_fields.value do UDM. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo security_result.detection_fields.value do UDM. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH, o campo UDM security_result.priority será definido como HIGH_PRIORITY.Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for igual a MEDIUM, o campo UDM security_result.priority será definido como MEDIUM_PRIORITY.Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW, o campo UDM security_result.priority será definido como LOW_PRIORITY. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.query será mapeado para o campo src.process.command_line do UDM.Caso contrário, o campo de registro database.query será mapeado para o campo target.process.command_line do UDM. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.folders.resourceFolderDisplay será mapeado para o campo src.resource_ancestors.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.gcpMetadata.folders.resourceFolderDisplay será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.folders.resourceFolder será mapeado para o campo src.resource_ancestors.name do UDM.Caso contrário, o campo de registro resource.gcpMetadata.folders.resourceFolder será mapeado para o campo target.resource_ancestors.name do UDM. |
resource.organization |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.organization será mapeado para o campo src.resource_ancestors.name do UDM.Caso contrário, o campo de registro resource.organization será mapeado para o campo target.resource_ancestors.name do UDM. |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.organization será mapeado para o campo src.resource_ancestors.name do UDM.Caso contrário, o campo de registro resource.gcpMetadata.organization será mapeado para o campo target.resource_ancestors.name do UDM. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.parentDisplayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.parentDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.gcpMetadata.parentDisplayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentName será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.parentName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.parent será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.gcpMetadata.parent será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.projectDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.projectDisplayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.gcpMetadata.projectDisplayName será mapeado para o campo src.resource_ancestors.attribute.labels.key/value do UDM.Caso contrário, o campo de registro resource.gcpMetadata.projectDisplayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo src.resource_ancestors.resource_subtype do UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.displayName será mapeado para o campo src.resource.attribute.labels.value do UDM. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo UDM src.resource.attribute.labels.key será definido como grantees, e o campo de registro database.grantees será mapeado para o campo UDM src.resource.attribute.labels.value. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo src.resource.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.displayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo src.resource.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.display_name será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo src.resource_ancestors.resource_subtype do UDM. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo src.resource.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.displayName será mapeado para o campo target.resource.attribute.labels.value do UDM. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo src.resource.attribute.labels.value do UDM.Caso contrário, o campo de registro resource.display_name será mapeado para o campo target.resource.attribute.labels.value do UDM. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.sources.components será mapeado para o campo src.resource.attribute.labels.value da UDM. |
resourceName |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro resourceName será mapeado para o campo src.resource.name do UDM. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.serviceName será mapeado para o campo target.application do UDM. |
access.methodName |
target.labels [access_methodName] (obsoleto) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (obsoleto) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (obsoleto) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (obsoleto) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (obsoleto) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (obsoleto) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (obsoleto) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (obsoleto) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (obsoleto) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (obsoleto) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (obsoleto) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (obsoleto) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (obsoleto) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (obsoleto) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name do UDM.Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo target.resource_ancestors.name do UDM. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.zone será mapeado para o campo target.resource.attribute.cloud.availability_zone do UDM. |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo metadata.product_log_id da UDM. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo src.resource.attribute.labels.key/value [finding_id] da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo src.resource.product_object_id da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo src.resource.attribute.labels.key/value [source_id] da UDM. Se o valor do campo de registro category for igual a um dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo target.resource.attribute.labels.key/value [finding_id] da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo target.resource.product_object_id da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo target.resource.attribute.labels.key/value [source_id] da UDM. Se o valor do campo de registro category não for igual a nenhum dos seguintes valores, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.targets.components será mapeado para o campo target.resource.attribute.labels.key/value da UDM. |
resourceName |
target.resource.name |
Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo UDM target.resource_ancestors.name.Caso contrário, se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo UDM target.resource_ancestors.name, e o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro exfiltration.target.name será mapeado para o campo UDM target.resource.name.Caso contrário, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo UDM target.resource.name.Caso contrário, o campo de registro resourceName será mapeado para o campo UDM target.resource.name. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RegionCode, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo principal.location.country_or_region do UDM.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RemoteHost, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo principal.ip do UDM.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a UserAgent, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo network.http.user_agent do UDM.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RequestUriPath, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo principal.url do UDM.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.compromised_account será mapeado para o campo principal.user.userid da UDM, e o campo principal.user.account_type da UDM será definido como SERVICE_ACCOUNT_TYPE.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.project_identifier será mapeado para o campo principal.resource.product_object_id do UDM.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.private_key_identifier será mapeado para o campo principal.user.attribute.labels.value do UDM.
|
sourceProperties.action_taken |
principal.labels [action_taken] (obsoleto) |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.action_taken será mapeado para o campo principal.labels.value do UDM.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.action_taken será mapeado para o campo additional.fields.value do UDM.
|
sourceProperties.finding_type |
principal.labels [finding_type] (obsoleto) |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.finding_type será mapeado para o campo principal.labels.value do UDM.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.finding_type será mapeado para o campo additional.fields.value do UDM.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.url será mapeado para o campo principal.user.attribute.labels.value do UDM.
|
sourceProperties.security_result.summary |
security_result.summary |
Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.security_result.summary será mapeado para o campo security_result.summary do UDM.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.