本頁面由 Cloud Translation API 翻譯而成。

收集 Security Command Center 發現項目

支援的國家/地區：

Google SecOps SIEM

本文說明如何設定 Security Command Center，並將發現項目擷取至 Google Security Operations，藉此收集 Security Command Center 記錄。這份文件也會列出支援的事件。

詳情請參閱「將資料擷取至 Google Security Operations」和「將 Security Command Center 發現項目匯出至 Google Security Operations」。一般部署作業包含 Security Command Center 和 Google Security Operations 資訊動態饋給，後者會設定為將記錄傳送至 Google Security Operations。每個客戶的部署作業可能有所不同，也可能更複雜。

部署作業包含下列元件：

Google Cloud：要監控的系統，其中安裝了 Security Command Center。
Security Command Center Event Threat Detection 發現項目：從資料來源收集資訊並產生發現項目。
Google Security Operations：保留及分析 Security Command Center 的記錄。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文資訊適用於具有下列擷取標籤的 Security Command Center 剖析器：

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

設定 Security Command Center，將發現項目傳送至 Google Security Operations Google Cloud

啟用 Security Command Center。
請確保部署作業中的所有系統都已設定為世界標準時間。
啟用 Security Command Center 發現項目的擷取作業。

支援的 Event Threat Detection 發現項目

本節列出支援的 Event Threat Detection 發現項目。如要瞭解 Security Command Center Event Threat Detection 規則和發現結果，請參閱「Event Threat Detection 規則」。

發現項目名稱	說明
主動掃描：Log4j 容易受到 RCE 攻擊	偵測主動式 Log4j 安全漏洞：找出支援的 Log4j 安全漏洞掃描器發起的未混淆網域 DNS 查詢。
蠻力攻擊：SSH	偵測到主機上的 SSH 暴力攻擊成功。
憑證存取：外部成員新增至特殊權限群組	偵測外部成員何時新增至具備特殊權限的 Google 群組 (獲授敏感角色或權限的群組)。如果群組中沒有與新成員來自同一機構的其他外部成員，系統才會產生調查結果。詳情請參閱「不安全的 Google 網上論壇變更」。
憑證存取：特殊權限群組對外公開	偵測到具備特殊權限的 Google 群組 (獲授敏感角色或權限的群組) 變更為一般大眾可存取時，系統會發出警示。詳情請參閱「不安全的 Google 網上論壇變更」。
憑證存取：將敏感角色授予混合群組	偵測是否將敏感角色授予含有外部成員的 Google 群組。詳情請參閱「不安全的 Google 網上論壇變更」。
規避防護功能：修改 VPC Service Controls	偵測現有 VPC Service Control 範圍的變更，這類變更會導致該範圍提供的保護措施減少。
探索：可以取得機密 Kubernetes 物件檢查預覽版	惡意行為人試圖使用 kubectl auth can-i get 指令，判斷可以查詢 Google Kubernetes Engine (GKE) 中的哪些機密物件。
探索：服務帳戶自我調查	偵測到身分與存取權管理 (IAM) 服務帳戶憑證，用於調查與該服務帳戶相關聯的角色和權限。
規避：來自匿名 Proxy 的存取	偵測到來自匿名 Proxy IP 位址 (例如 Tor IP 位址) 的服務修改。 Google Cloud
竊取：BigQuery 資料竊取	偵測下列情況：受保護機構擁有的資源儲存在機構外部，包括複製或轉移作業。嘗試存取受 VPC Service Control 保護的 BigQuery 資源。
竊取：BigQuery 資料擷取	偵測下列情況：受保護機構擁有的 BigQuery 資源會透過擷取作業，儲存至機構外部的 Cloud Storage bucket。受保護機構擁有的 BigQuery 資源透過擷取作業，儲存至該機構擁有的公開存取 Cloud Storage bucket。
竊取：將 BigQuery 資料匯出至 Google 雲端硬碟	偵測下列情況：受保護機構擁有的 BigQuery 資源會透過擷取作業儲存至 Google 雲端硬碟資料夾。
竊取資料：Cloud SQL 資料外洩	偵測下列情況：將即時執行個體資料匯出至機構外部的 Cloud Storage bucket。將即時執行個體資料匯出至貴機構擁有的公開 Cloud Storage bucket。
竊取資料：將 Cloud SQL 備份還原至外部機構	偵測 Cloud SQL 執行個體的備份是否還原至貴機構以外的執行個體。
資料外洩：Cloud SQL SQL 授權過多權限	偵測 Cloud SQL Postgres 使用者或角色何時取得資料庫的所有權限，或是結構定義中所有資料表、程序或函式的所有權限。
破壞防禦機制：停用高強度驗證	機構已停用兩步驟驗證。
削弱防禦機制：兩步驟驗證已停用	使用者停用了兩步驟驗證。
初始存取權：帳戶已停用遭入侵	使用者的帳戶因可疑活動而遭到停權。
初始存取權：已停用密碼外洩偵測功能	系統偵測到密碼外洩，因此停用使用者帳戶。
初始存取：政府資助的入侵者攻擊	受到某些政府支援的攻擊者可能試圖駭進使用者帳戶或電腦。
初始存取：嘗試惡意利用 Log4j	偵測標頭或網址參數中的 Java Naming and Directory Interface (JNDI) 查閱作業。這些查詢可能表示有人嘗試利用 Log4Shell 漏洞。這些發現事項的嚴重程度較低，因為只表示偵測到或嘗試入侵，而非弱點或入侵。
初始存取權：已封鎖可疑的登入活動	系統偵測到有人試圖登入使用者的帳戶，但已封鎖該活動。
Log4j 惡意軟體：無效網域	根據連線至或查詢 Log4j 攻擊中使用的已知網域，偵測 Log4j 漏洞利用流量。
Log4j 惡意軟體：無效 IP	根據連至 Log4j 攻擊所用已知 IP 位址的連線，偵測 Log4j 攻擊流量。
惡意軟體：無效網域	根據連線至已知惡意網域或查詢該網域的行為，偵測惡意軟體。
惡意軟體：無效 IP	根據連線至已知不良 IP 位址的情況偵測惡意軟體。
惡意軟體：加密貨幣挖礦無效網域	根據連線至已知加密貨幣挖礦網域或查詢該網域的行為，偵測加密貨幣挖礦活動。
惡意軟體：加密貨幣挖礦無效 IP	根據連線至已知挖礦 IP 位址的連線，偵測加密貨幣挖礦活動。
連出的 DoS	偵測外送阻斷服務流量。
持續性：Compute Engine 管理員新增安全殼層金鑰	偵測到已建立執行個體 (超過 1 週) 的 Compute Engine 執行個體中繼資料 SSH 金鑰值遭到修改。
持續性：Compute Engine 管理員新增開機指令碼	偵測到已建立執行個體 (超過 1 週) 的 Compute Engine 執行個體中繼資料開機指令碼值遭到修改。
持續性：身分與存取權管理異常授權	偵測授予非機構成員的 IAM 使用者和服務帳戶的權限。這個偵測器會使用機構現有的 IAM 政策做為背景資訊。如果發生將敏感身分與存取權管理授權授予外部成員的情況，且類似的現有身分與存取權管理政策少於三項，這個偵測器就會產生發現項目。
持續性：新 API 方法搶先版	偵測 IAM 服務帳戶異常使用 Google Cloud 服務的情況。
持續：新地理位置	根據要求 IP 位址的地理位置，偵測從異常位置存取 Google Cloud 的 IAM 使用者和服務帳戶。
持續性：新使用者代理程式	偵測到 IAM 服務帳戶透過異常或可疑的使用者代理程式存取 Google Cloud。
持續性：單一登入 (SSO) 啟用切換開關	管理員帳戶的「啟用 SSO (單一登入)」設定已停用。
持續性：單一登入 (SSO) 設定已變更	已變更管理員帳戶的單一登入 (SSO) 設定。
權限提升：變更機密 Kubernetes RBAC 物件 (搶先版)	為提升權限，惡意行為人試圖使用 PUT 或 PATCH 要求，修改 cluster-admin ClusterRole 和 ClusterRoleBinding 物件。
權限提升：建立主憑證的 Kubernetes CSRPreview	可能有惡意的行為人建立了 Kubernetes 主憑證簽署要求 (CSR)，藉此取得 cluster-admin 存取權。
權限提升：建立機密 Kubernetes 繫結搶先版	惡意行為人試圖建立新的 cluster-admin RoleBinding 或 ClusterRoleBinding 物件，藉此提升權限。
權限提升：取得啟動憑證外洩的 Kubernetes CSRPreview	惡意行為人使用了外洩的啟動憑證，以 kubectl 指令查詢憑證簽署要求 (CSR)。
權限提升：啟動具備特殊權限的 Kubernetes 容器 (預覽版)	惡意行為人建立了 Pod，當中的容器具備特殊權限或權限提升功能。特殊權限容器的「privileged」欄位設為 true，具備權限提升功能的容器則是 allowPrivilegeEscalation 欄位設為 true。
初始存取權：已建立休眠服務帳戶金鑰	偵測為閒置使用者代管服務帳戶建立金鑰的事件。在此情況下，如果服務帳戶閒置超過 180 天，就會視為休眠帳戶。
程序樹狀結構	偵測器會檢查所有執行中程序的程序樹狀結構。如果程序是 Shell 二進位檔，偵測器會檢查其父項程序。如果父項程序是不應產生殼層程序的二進位檔，偵測器就會觸發發現項目。
非預期的子殼層	偵測器會檢查所有執行中程序的程序樹狀結構。如果程序是 Shell 二進位檔，偵測器會檢查其父項程序。如果父項程序是不應產生殼層程序的二進位檔，偵測器就會觸發發現項目。
執行：已執行新增的惡意二進位檔	偵測器會尋找並執行不屬於原始容器映像檔的二進位檔，並根據威脅情報判斷是否為惡意檔案。
執行：已執行修改過的惡意二進位檔	偵測器會尋找正在執行的二進位檔，該二進位檔原本包含在容器映像檔中，但在執行階段經過修改，並根據威脅情報判斷為惡意。
權限提升：管理員活動的異常多步驟服務帳戶委派項目	偵測到管理活動的異常多步驟委派要求時，系統會發出警示。
使用了急用權限帳戶：break_glass_account	偵測緊急存取 (急用權限) 帳戶使用情形
可設定的無效網域：APT29_Domains	偵測連至指定網域名稱的連線
未預期的角色授予項目：禁止的角色	授予指定角色給使用者時偵測
可設定的無效 IP	偵測連至指定 IP 位址的連線
未預期的 Compute Engine 執行個體類型	在建立 Compute Engine 執行個體時，偵測是否有與指定執行個體類型或設定不符的情形。
未預期的 Compute Engine 來源映像檔	在建立 Compute Engine 執行個體時，偵測是否有與指定清單不符的映像檔或映像檔系列
未預期的 Compute Engine 區域	在建立 Compute Engine 執行個體時，偵測是否有在指定清單外的區域。
具備禁用權限的自訂角色	將具備任一指定 IAM 權限的自訂角色授予主體時偵測。
未預期的 Cloud API 呼叫	偵測指定主體是否針對指定資源呼叫指定方法。只有在單一記錄項目中符合所有規則運算式時，系統才會產生發現項目。

支援的 GCP_SECURITYCENTER_ERROR 發現項目

您可以在「欄位對應參照：錯誤」表格中找到 UDM 對應。

發現項目名稱	說明
VPC_SC_RESTRICTION	安全狀態分析無法為專案產生特定發現項目。專案受到服務範圍保護，且 Security Command Center 服務帳戶無法存取該範圍。
MISCONFIGURED_CLOUD_LOGGING_EXPORT	設定為持續匯出至 Cloud Logging 的專案無法使用。Security Command Center 無法將發現項目傳送至 Cloud Logging。
API_DISABLED	專案所需的 API 已停用。停用的服務無法將調查結果傳送至 Security Command Center。
KTD_IMAGE_PULL_FAILURE	由於系統無法從 Container Registry 映像檔主機 gcr.io 提取 (下載) 必要容器映像檔，因此無法在叢集上啟用 Container Threat Detection。Container Threat Detection 需要這個映像檔，才能部署 Container Threat Detection DaemonSet。
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	無法在 Kubernetes 叢集上啟用 Container Threat Detection。第三方許可控制器會禁止部署 Container Threat Detection 必要的 Kubernetes DaemonSet 物件。在 Google Cloud 控制台中查看時，發現詳細資料會包含 Container Threat Detection 嘗試部署 Container Threat Detection DaemonSet 物件時，Google Kubernetes Engine 傳回的錯誤訊息。
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	服務帳戶缺少 Container Threat Detection 所需的權限。由於無法啟用、升級或停用偵測工具，Container Threat Detection 可能無法正常運作。
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection 無法為 Google Kubernetes Engine 叢集產生發現項目，因為叢集中的 GKE 預設服務帳戶缺少權限。這會導致系統無法在叢集上成功啟用 Container Threat Detection。
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Security Command Center 服務帳戶缺少正常運作所需的權限。不會產生任何發現項目。

支援的 GCP_SECURITYCENTER_OBSERVATION 發現項目

您可以在「欄位對應參照：OBSERVATION」表格中找到 UDM 對應。

發現項目名稱	說明
持續性：已新增專案安全殼層金鑰	在專案中建立專案層級的安全殼層金鑰，且該專案已存在超過 10 天。
持續性：新增敏感角色	在成立超過 10 天的機構中，授予了機密或高權限的機構層級 IAM 角色。

支援的 GCP_SECURITYCENTER_UNSPECIFIED 發現項目

您可以在「欄位對應參照：UNSPECIFIED」表格中找到 UDM 對應。

發現項目名稱	說明
OPEN_FIREWALL	防火牆已設為對外開放。

支援的 GCP_SECURITYCENTER_VULNERABILITY 發現項目

您可以在「Field mapping reference: VULNERABILITY」(欄位對應參照：VULNERABILITY) 表格中找到 UDM 對應。

發現項目名稱	說明
DISK_CSEK_DISABLED	這部 VM 上的磁碟並未以客戶提供的加密金鑰 (CSEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「特殊情況偵測器」。
ALPHA_CLUSTER_ENABLED	為 GKE 叢集啟用 Alpha 版叢集功能。
AUTO_REPAIR_DISABLED	GKE 叢集的自動修復功能已停用，這項功能可讓節點維持在良好的運作狀態。
AUTO_UPGRADE_DISABLED	GKE 叢集的自動升級功能已停用，因此叢集和節點集區不會更新至 Kubernetes 最新穩定版本。
CLUSTER_SHIELDED_NODES_DISABLED	叢集未啟用 Shielded GKE 節點
COS_NOT_USED	Compute Engine VM 未使用 Container-Optimized OS，該 OS 專為在 Google Cloud 安全環境中執行 Docker 容器而設計。
INTEGRITY_MONITORING_DISABLED	GKE 叢集已停用完整性監控功能。
IP_ALIAS_DISABLED	建立 GKE 叢集時停用了別名 IP 範圍。
LEGACY_METADATA_ENABLED	GKE 叢集已啟用舊版中繼資料。
RELEASE_CHANNEL_DISABLED	GKE 叢集未訂閱發布管道。
DATAPROC_IMAGE_OUTDATED	使用受 Apache Log4j 2 公用程式安全漏洞影響的 Dataproc 映像檔版本 (CVE-2021-44228 和 CVE-2021-45046) 建立 Dataproc 叢集。
PUBLIC_DATASET	資料集已設為公開存取。
DNSSEC_DISABLED	Cloud DNS 區域已停用 DNSSEC。
RSASHA1_FOR_SIGNING	RSASHA1 用於 Cloud DNS 區域的金鑰簽署。
REDIS_ROLE_USED_ON_ORG	在機構或資料夾層級指派 Redis IAM 角色。
KMS_PUBLIC_KEY	Cloud KMS 加密編譯金鑰可公開存取。
SQL_CONTAINED_DATABASE_AUTHENTICATION	Cloud SQL for SQL Server 執行個體的 contained database authentication 資料庫旗標未設為「off」。
SQL_CROSS_DB_OWNERSHIP_CHAINING	Cloud SQL for SQL Server 執行個體的 cross_db_ownership_chaining 資料庫旗標未設為「off」。
SQL_EXTERNAL_SCRIPTS_ENABLED	Cloud SQL for SQL Server 執行個體的 external scripts enabled 資料庫旗標未設為「off」。
SQL_LOCAL_INFILE	Cloud SQL for MySQL 執行個體的 local_infile 資料庫旗標未設為「off」。
SQL_LOG_ERROR_VERBOSITY	Cloud SQL for PostgreSQL 執行個體的 log_error_verbosity 資料庫旗標未設為預設值或更嚴格的值。
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_min_duration_statement 資料庫旗標未設為「-1」。
SQL_LOG_MIN_ERROR_STATEMENT	Cloud SQL for PostgreSQL 執行個體的 log_min_error_statement 資料庫旗標未正確設定。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Cloud SQL for PostgreSQL 執行個體的 log_min_error_statement 資料庫旗標嚴重程度不適當。
SQL_LOG_MIN_MESSAGES	Cloud SQL for PostgreSQL 執行個體的 log_min_messages 資料庫旗標未設為「warning」。
SQL_LOG_EXECUTOR_STATS_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_executor_status 資料庫旗標未設為「off」。
SQL_LOG_HOSTNAME_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_hostname 資料庫旗標未設為「off」。
SQL_LOG_PARSER_STATS_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_parser_stats 資料庫旗標未設為「off」。
SQL_LOG_PLANNER_STATS_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_planner_stats 資料庫旗標未設為「off」。
SQL_LOG_STATEMENT_STATS_ENABLED	Cloud SQL for PostgreSQL 執行個體的 log_statement_stats 資料庫旗標未設為 off。
SQL_LOG_TEMP_FILES	Cloud SQL for PostgreSQL 執行個體的 log_temp_files 資料庫旗標未設為「0」。
SQL_REMOTE_ACCESS_ENABLED	Cloud SQL for SQL Server 執行個體的 remote access 資料庫旗標未設為「off」。
SQL_SKIP_SHOW_DATABASE_DISABLED	MySQL 適用的 Cloud SQL 執行個體的 skip_show_database 資料庫旗標未設為「on」。
SQL_TRACE_FLAG_3625	Cloud SQL for SQL Server 執行個體的 3625 (追蹤記錄旗標) 資料庫旗標未設為 on。
SQL_USER_CONNECTIONS_CONFIGURED	已為 SQL Server 適用的 Cloud SQL 執行個體設定 user connections 資料庫旗標。
SQL_USER_OPTIONS_CONFIGURED	已為 SQL Server 適用的 Cloud SQL 執行個體設定 user options 資料庫旗標。
SQL_WEAK_ROOT_PASSWORD	Cloud SQL 資料庫為根帳戶設定的密碼強度較弱。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
PUBLIC_LOG_BUCKET	做為記錄檔接收器的 Storage bucket 可公開存取。
ACCESSIBLE_GIT_REPOSITORY	Git 存放區公開。如要解決這項發現，請移除 GIT 存放區的非預期公開存取權。
ACCESSIBLE_SVN_REPOSITORY	SVN 存放區公開顯示。如要解決這項發現，請移除 SVN 存放區的非預期公開存取權。
ACCESSIBLE_ENV_FILE	ENV 檔案公開顯示。如要解決這項發現，請移除 ENV 檔案的非預期公開存取權。
CACHEABLE_PASSWORD_INPUT	在網頁應用程式中輸入的密碼可能會快取在一般瀏覽器快取中，而非安全的密碼儲存空間。
CLEAR_TEXT_PASSWORD	密碼是以純文字格式傳輸，因此可能會遭到攔截。如要解決這項問題，請將透過網路傳輸的密碼加密。
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	跨網站 HTTP 或 HTTPS 端點只會驗證 Origin 要求標頭的後置字串，接著就會在 Access-Control-Allow-Origin 回應標頭中呈現該後置字串。如要解決這項問題，請先確認預期的根網域是 Origin 標頭值的一部分，然後再呈現在 Access-Control-Allow-Origin 回應標頭中。如為子網域萬用字元，請在根網域開頭加上半形句號，例如 .endsWith("".google.com"")。
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	跨網站 HTTP 或 HTTPS 端點只會驗證 Origin 要求標頭的前置字串，接著就會在 Access-Control-Allow-Origin 回應標頭中呈現該前置字串。如要解決這項問題，請先確認預期的網域與 Origin 標頭值完全相符，再呈現在 Access-Control-Allow-Origin 回應標頭中，例如 .equals("".google.com"")。
INVALID_CONTENT_TYPE	載入的資源與回應的 Content-Type HTTP 標頭不符。如要解決這項問題，請以正確的值設定 X-Content-Type-Options HTTP 標頭。
INVALID_HEADER	安全性標頭有語法錯誤，因此瀏覽器會忽略該標頭。如要解決這項問題，請正確設定 HTTP 安全性標頭。
MISMATCHING_SECURITY_HEADER_VALUES	安全性標頭重複出現，且值不相符，導致未定義的行為。如要解決這項問題，請正確設定 HTTP 安全性標頭。
MISSPELLED_SECURITY_HEADER_NAME	安全性標頭拼字有誤，因此遭到忽略。如要解決這項問題，請正確設定 HTTP 安全性標頭。
MIXED_CONTENT	HTTPS 網頁透過 HTTP 提供資源。如要解決這項問題，請確保所有資源都是透過 HTTPS 提供。
OUTDATED_LIBRARY	系統偵測到含有已知安全漏洞的程式庫。如要解決這項發現，請將程式庫升級至較新版本。
SERVER_SIDE_REQUEST_FORGERY	系統偵測到伺服器端偽造要求 (SSRF) 安全漏洞。如要解決這項問題，請使用許可清單，限制網頁應用程式可提出要求的網域和 IP 位址。
SESSION_ID_LEAK	提出跨網域要求時，網路應用程式會在 Referer 要求標頭中加入使用者的工作階段 ID。這個安全漏洞會讓接收網域存取工作階段 ID，可用於冒用或明確識別使用者。
SQL_INJECTION	系統偵測到潛在的 SQL 注入安全漏洞。如要解決這項問題，請使用參數化查詢，避免使用者輸入內容影響 SQL 查詢的結構。
STRUTS_INSECURE_DESERIALIZATION	系統偵測到您使用了容易遭受攻擊的 Apache Struts 版本。如要解決這項發現，請將 Apache Struts 升級至最新版本。
XSS	這個網頁應用程式的某個欄位容易遭受跨網站指令碼攻擊 (XSS)。如要解決這項問題，請驗證及排除不受信任使用者提供的資料。
XSS_ANGULAR_CALLBACK	使用者提供的字串未經過逸出處理，AngularJS 可以內插該字串。如要解決這項問題，請驗證及排除不受信任使用者提供並以 Angular 架構處理的資料。
XSS_ERROR	這個網頁應用程式中的某個欄位容易遭受跨網站指令碼攻擊。如要解決這項問題，請驗證及排除不受信任使用者提供的資料。
XXE_REFLECTED_FILE_LEAKAGE	系統偵測到 XML 外部實體 (XXE) 安全漏洞。這個漏洞可能會導致網頁應用程式洩漏主機上的檔案。如要解決這項問題，請將 XML 剖析器設為禁止外部實體。
BASIC_AUTHENTICATION_ENABLED	應在 Kubernetes 叢集中啟用身分與存取權管理或用戶端憑證驗證。
CLIENT_CERT_AUTHENTICATION_DISABLED	建立 Kubernetes 叢集時應啟用用戶端憑證。
LABELS_NOT_USED	可用來細分帳單資訊的標籤。
PUBLIC_STORAGE_OBJECT	您不應對 allUsers 授予儲存空間物件 ACL 的存取權限。
SQL_BROAD_ROOT_LOGIN	建議您僅將 SQL 資料庫的 Root 存取權限授予許可清單中的可信任 IP。
WEAK_CREDENTIALS	這個偵測器會使用 ncrack 強制破解方法檢查弱憑證。支援的服務：SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM
ELASTICSEARCH_API_EXPOSED	呼叫端可透過 Elasticsearch API 執行任意查詢、編寫及執行指令碼，並將其他文件新增至服務。
EXPOSED_GRAFANA_ENDPOINT	在 Grafana 8.0.0 至 8.3.0 版本中，使用者可以未經驗證存取具有目錄遍歷安全漏洞的端點，導致任何使用者都能未經驗證讀取伺服器上的任何檔案。詳情請參閱 CVE-2021-43798。
EXPOSED_METABASE	開放原始碼資料分析平台 Metabase 的 x.40.0 至 x.40.4 版本，在自訂 GeoJSON 地圖支援功能中含有安全漏洞，可能導致本機檔案 (包括環境變數) 遭到納入。系統未在載入網址前進行驗證，詳情請參閱 CVE-2021-41277。
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	這個偵測器會檢查 Spring Boot 應用程式是否公開了敏感的 Actuator 端點。部分預設端點 (例如 /heapdump) 可能會公開私密資訊。其他端點 (例如 /env) 可能會導致遠端執行程式碼。目前只會檢查 /heapdump。
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	這個偵測器會檢查 Hadoop Yarn ResourceManager API (可控管 Hadoop 叢集的運算和儲存資源) 是否公開，以及是否允許未經驗證的程式碼執行作業。
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) 可用於遠端監控及診斷 Java 應用程式。使用未受保護的遠端方法調用端點執行 JMX，會允許任何遠端使用者建立 javax.management.loading.MLet MBean，並使用該 MBean 從任意網址建立新的 MBean。
JUPYTER_NOTEBOOK_EXPOSED_UI	這個偵測工具會檢查是否公開未經驗證的 Jupyter Notebook。Jupyter 的設計允許在主機上遠端執行程式碼。未經驗證的 Jupyter Notebook 會導致主機 VM 暴露於遠端程式碼執行風險。
KUBERNETES_API_EXPOSED	Kubernetes API 會公開，未通過驗證的呼叫端也能存取。這會允許在 Kubernetes 叢集上執行任意程式碼。
UNFINISHED_WORDPRESS_INSTALLATION	這個偵測器會檢查 WordPress 安裝作業是否未完成。如果 WordPress 安裝程序未完成，系統會公開 /wp-admin/install.php 頁面，攻擊者可藉此設定管理員密碼，甚至可能入侵系統。
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	這個偵測器會以匿名訪客身分，將探查 Ping 傳送至 /view/all/newJob 端點，檢查是否有未通過驗證的 Jenkins 執行個體。通過驗證的 Jenkins 執行個體會顯示 createItem 表單，允許建立任意工作，可能導致遠端執行程式碼。
APACHE_HTTPD_RCE	Apache HTTP Server 2.4.49 存在一項缺陷，攻擊者可利用路徑遍歷攻擊，將網址對應至預期文件根目錄以外的檔案，並查看 CGI 指令碼等解譯檔案的來源。據瞭解，這個問題已在實際環境中遭到濫用。這個問題會影響 Apache 2.4.49 和 2.4.50，但不會影響舊版。如要進一步瞭解這項安全漏洞，請參閱： CVE 記錄 CVE-2021-41773 Apache HTTP Server 2.4 漏洞
APACHE_HTTPD_SSRF	攻擊者可以製作 Apache 網路伺服器的 URI，導致 mod_proxy 將要求轉送至攻擊者選擇的原始伺服器。這個問題會影響 Apache HTTP server 2.4.48 及更早版本。如要進一步瞭解這項安全漏洞，請參閱： CVE 記錄 CVE-2021-40438 Apache HTTP Server 2.4 漏洞
CONSUL_RCE	Consul 執行個體的 -enable-script-checks 設為 true，且 Consul HTTP API 不安全，可透過網路存取，因此攻擊者可以在 Consul 伺服器上執行任意程式碼。在 Consul 0.9.0 和更早版本中，指令碼檢查預設為開啟。詳情請參閱「Protecting Consul from RCE Risk in Specific Configurations」。如要檢查這項安全漏洞，快速安全漏洞偵測功能會使用 /v1/health/service REST 端點在 Consul 執行個體上註冊服務，然後執行下列其中一項操作： * 對網路外部的遠端伺服器執行 curl 指令。攻擊者可以使用 curl 指令從伺服器竊取資料。 * printf 指令。然後，Rapid Vulnerability Detection 會使用 /v1/health/service REST 端點，驗證指令的輸出內容。 * 檢查完成後，Rapid Vulnerability Detection 會使用 /v1/agent/service/deregister/ REST 端點清除並取消註冊服務。
DRUID_RCE	Apache Druid 包含執行使用者提供的 JavaScript 程式碼的功能，這些程式碼會嵌入各種要求中。這項功能適用於高信任度環境，預設為停用。不過，在 Druid 0.20.0 和更早版本中，經過驗證的使用者可以傳送特製要求，強制 Druid 為該要求執行使用者提供的 JavaScript 程式碼，無論伺服器設定為何。這項功能可用於在目標電腦上執行程式碼，並取得 Druid 伺服器程序的權限。詳情請參閱 CVE-2021-25646 詳細資料。
DRUPAL_RCE	在 7.58 之前的 Drupal 版本、8.3.9 之前的 8.x 版本、8.4.6 之前的 8.4.x 版本，以及 8.5.1 之前的 8.5.x 版本中，Form API AJAX 要求容易受到遠端程式碼執行攻擊。如果啟用 RESTful Web Service 模組或 JSON:API，8.5.11 之前的 Drupal 8.5.x 和 8.6.10 之前的 Drupal 8.6.x 就容易遭到遠端程式碼執行攻擊。未經驗證的攻擊者可利用自訂 POST 要求，來利用這項漏洞。
FLINK_FILE_DISCLOSURE	Apache Flink 1.11.0、1.11.1 和 1.11.2 版存在安全漏洞，攻擊者可透過 JobManager 程序的 REST 介面，讀取 JobManager 本機檔案系統中的任何檔案。存取權僅限於 JobManager 程序可存取的檔案。
GITLAB_RCE	在 GitLab Community Edition (CE) 和 Enterprise Edition (EE) 11.9 以上版本中，GitLab 無法正確驗證傳遞至檔案剖析器的圖片檔。攻擊者可利用此漏洞執行遠端指令。
GoCD_RCE	在 GoCD 21.2.0 和更早版本中，有一個端點可供存取，不必經過驗證。這個端點存在目錄遍歷安全漏洞，使用者無需驗證即可讀取伺服器上的任何檔案。
JENKINS_RCE	Jenkins 2.56 以下版本，以及 2.46.1 LTS 以下版本，都容易遭到遠端程式碼執行攻擊。未經驗證的攻擊者可使用惡意序列化 Java 物件觸發這個安全漏洞。
JOOMLA_RCE	Joomla 1.5.x、2.x 和 3.x 版本 (3.4.6 之前的版本) 容易受到遠端程式碼執行攻擊。只要製作含有序列化 PHP 物件的標頭，即可觸發這個漏洞。 Joomla 3.0.0 至 3.4.6 版有遠端程式碼執行漏洞。只要傳送含有精心設計的序列化 PHP 物件的 POST 要求，即可觸發這項安全漏洞。
LOG4J_RCE	在 Apache Log4j2 2.14.1 和更早版本中，設定、記錄訊息和參數中使用的 JNDI 功能無法防範由攻擊者控制的 LDAP 和其他 JNDI 相關端點。詳情請參閱 CVE-2021-44228。
MANTISBT_PRIVILEGE_ESCALATION	MantisBT 2.3.0 之前的版本允許任意重設密碼，並透過提供空白的 confirm_hash 值給 verify.php，讓未經驗證的管理員存取。
OGNL_RCE	Confluence Server 和 Data Center 執行個體含有 OGNL 注入漏洞，未經驗證的攻擊者可藉此執行任意程式碼。詳情請參閱 CVE-2021-26084。
OPENAM_RCE	OpenAM 伺服器 14.6.2 以前版本和 ForgeRock AM 伺服器 6.5.3 以前版本的多個頁面，其 jato.pageSession 參數存在 Java 還原序列化安全漏洞。攻擊者不必通過驗證，只要傳送單一精心設計的 /ccversion/* 要求至伺服器，即可觸發遠端執行程式碼。這個安全漏洞是因為使用 Sun ONE 應用程式而產生。詳情請參閱 CVE-2021-35464。
ORACLE_WEBLOGIC_RCE	Oracle Fusion Middleware 的 Oracle WebLogic Server 產品 (元件：Console) 某些版本含有安全性漏洞，包括 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 版。未經驗證的攻擊者可透過 HTTP 存取網路，利用這個容易遭到攻擊的漏洞入侵 Oracle WebLogic Server。成功利用此安全漏洞發動攻擊，可能會導致 Oracle WebLogic Server 遭到入侵。詳情請參閱 CVE-2020-14882。
PHPUNIT_RCE	5.6.3 之前的 PHPUnit 版本允許使用單一未經驗證的 POST 要求執行遠端程式碼。
PHP_CGI_RCE	如果 PHP 版本 5.3.12 之前的版本，以及 5.4.x 版本 (5.4.2 之前的版本) 設定為 CGI 指令碼，就會允許遠端執行程式碼。有安全漏洞的程式碼無法正確處理缺少 = (等號) 字元的查詢字串。攻擊者可藉此新增在伺服器上執行的指令列選項。
PORTAL_RCE	在 7.2.1 CE GA2 之前的 Liferay Portal 版本中，如果對不受信任的資料進行還原序列化，遠端攻擊者就能透過 JSON 網路服務執行任意程式碼。
REDIS_RCE	如果 Redis 執行個體不需要驗證即可執行管理員指令，攻擊者可能就能執行任意程式碼。
SOLR_FILE_EXPOSED	Apache Solr (開放原始碼搜尋伺服器) 未啟用驗證功能。如果 Apache Solr 不需要驗證，攻擊者可以直接製作要求來啟用特定設定，最終實作伺服器端要求偽造 (SSRF) 或讀取任意檔案。
SOLR_RCE	如果 params.resource.loader.enabled 設為 true，Apache Solr 5.0.0 至 Apache Solr 8.3.1 版本會透過 VelocityResponseWriter 執行遠端程式碼。攻擊者可藉此建立含有惡意 Velocity 範本的參數。
STRUTS_RCE	Apache Struts 2.3.32 之前的版本和 2.5.10.1 之前的 2.5.x 版本，都存在遠端程式碼執行安全漏洞。未經驗證的攻擊者提供精心設計的 Content-Type 標頭，即可觸發這個漏洞。在 Apache Struts 2.3.34 之前的 2.1.1 至 2.3.x 版本，以及 2.5.13 之前的 2.5.x 版本中，REST 外掛程式在還原序列化精心設計的 XML 酬載時，容易受到遠端程式碼執行攻擊。如果 alwaysSelectFullNamespace 設為 true，且存在某些其他動作設定，則 Apache Struts 2.3 至 2.3.34 版和 2.5 至 2.5.16 版會受到遠端程式碼執行攻擊。
TOMCAT_FILE_DISCLOSURE	Apache Tomcat 9.0.31 之前的 9.x 版本、8.5.51 之前的 8.x 版本、7.0.100 之前的 7.x 版本，以及所有 6.x 版本，都會透過公開的 Apache JServ Protocol 連接器揭露原始碼和設定。在某些情況下，如果允許上傳檔案，這項功能可能會遭到濫用，導致遠端執行程式碼。
VBULLETIN_RCE	執行 5.0.0 至 5.5.4 版本的 vBulletin 伺服器容易遭到遠端程式碼執行攻擊。未經驗證的攻擊者可利用路徑字串要求中的查詢參數，發動攻擊來利用這個漏洞。
VCENTER_RCE	VMware vCenter Server 7.0 U1c 之前的 7.x 版本、6.7 U3l 之前的 6.7 版本，以及 6.5 U3n 之前的 6.5 版本，都容易遭到遠端程式碼執行攻擊。攻擊者只要將特製的 Java Server Pages 檔案上傳至可透過網路存取的目錄，然後觸發該檔案的執行作業，即可觸發這項安全漏洞。
WEBLOGIC_RCE	Oracle Fusion Middleware 的 Oracle WebLogic Server 產品 (元件：Console) 某些版本含有遠端程式碼執行安全漏洞，包括 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 版。這項安全漏洞與 CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 相關。詳情請參閱 CVE-2020-14883。
OS_VULNERABILITY	VM 管理員在 Compute Engine VM 安裝的作業系統 (OS) 套件中偵測到安全漏洞。
UNUSED_IAM_ROLE	IAM 建議工具偵測到使用者帳戶有過去 90 天內未使用的 IAM 角色。
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	IAM 建議工具偵測到服務代理原始預設的 IAM 角色已替換為基本的 IAM 角色，包括擁有者、編輯者或檢視者。基本角色是權限過於寬鬆的舊版角色，不應授予服務代理。

支援的 GCP_SECURITYCENTER_MISCONFIGURATION 發現項目

您可以在「欄位對應參照：設定錯誤」表格中找到 UDM 對應。

發現項目名稱	說明
API_KEY_APIS_UNRESTRICTED	API 金鑰的使用範圍過於廣泛。如要解決這個問題，請限制 API 金鑰的使用範圍，只允許應用程式需要的 API。
API_KEY_APPS_UNRESTRICTED	API 金鑰的使用方式未設限，任何不受信任的應用程式都能使用
API_KEY_EXISTS	專案使用 API 金鑰，而非標準驗證。
API_KEY_NOT_ROTATED	API 金鑰已超過 90 天未輪替
PUBLIC_COMPUTE_IMAGE	Compute Engine 映像檔可公開存取。
CONFIDENTIAL_COMPUTING_DISABLED	Compute Engine 執行個體已停用機密運算。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	系統會使用全專案 SSH 金鑰，允許登入專案中的所有執行個體。
COMPUTE_SECURE_BOOT_DISABLED	這個受防護的 VM 未啟用安全啟動功能。使用安全啟動功能，有助於保護虛擬機器執行個體，防範 Rootkit 和 Bootkit 等進階威脅。
DEFAULT_SERVICE_ACCOUNT_USED	執行個體已設為使用預設服務帳戶。
FULL_API_ACCESS	執行個體已設為使用預設服務帳戶，這類服務帳戶具備所有 Google Cloud API 的完整存取權。
OS_LOGIN_DISABLED	這個執行個體已停用 OS 登入功能。
PUBLIC_IP_ADDRESS	執行個體具有公開 IP 位址。
SHIELDED_VM_DISABLED	這個執行個體已停用受防護的 VM。
COMPUTE_SERIAL_PORTS_ENABLED	執行個體已啟用序列埠，可連線至執行個體的序列主控台。
DISK_CMEK_DISABLED	這個 VM 上的磁碟並未採用客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
HTTP_LOAD_BALANCER	執行個體使用的負載平衡器已設定為使用目標 HTTP Proxy，而不是目標 HTTPS Proxy。
IP_FORWARDING_ENABLED	執行個體已啟用 IP 轉送功能。
WEAK_SSL_POLICY	執行個體的 SSL 政策強度不足。
BINARY_AUTHORIZATION_DISABLED	GKE 叢集已停用二進位授權。
CLUSTER_LOGGING_DISABLED	GKE 叢集未啟用記錄功能。
CLUSTER_MONITORING_DISABLED	GKE 叢集已停用監控功能。
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	叢集主機未設定為僅使用私人內部 IP 位址存取 Google API。
CLUSTER_SECRETS_ENCRYPTION_DISABLED	GKE 叢集已停用應用程式層 Secret 加密功能。
INTRANODE_VISIBILITY_DISABLED	GKE 叢集已停用節點內瀏覽權限。
MASTER_AUTHORIZED_NETWORKS_DISABLED	GKE 叢集未啟用控制層授權網路。
NETWORK_POLICY_DISABLED	GKE 叢集已停用網路政策。
NODEPOOL_SECURE_BOOT_DISABLED	GKE 叢集已停用安全啟動功能。
OVER_PRIVILEGED_ACCOUNT	服務帳戶在叢集中的專案存取權過於廣泛。
OVER_PRIVILEGED_SCOPES	節點服務帳戶的存取權範圍很廣。
POD_SECURITY_POLICY_DISABLED	GKE 叢集已停用 PodSecurityPolicy。
PRIVATE_CLUSTER_DISABLED	GKE 叢集已停用私人叢集。
WORKLOAD_IDENTITY_DISABLED	GKE 叢集未訂閱發布管道。
LEGACY_AUTHORIZATION_ENABLED	GKE 叢集已啟用舊版授權。
NODEPOOL_BOOT_CMEK_DISABLED	這個節點集區中的開機磁碟未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
WEB_UI_ENABLED	已啟用 GKE 網頁版 UI (資訊主頁)。
AUTO_REPAIR_DISABLED	GKE 叢集的自動修復功能已停用，這項功能可讓節點維持在良好的運作狀態。
AUTO_UPGRADE_DISABLED	GKE 叢集的自動升級功能已停用，因此叢集和節點集區不會更新至 Kubernetes 最新穩定版本。
CLUSTER_SHIELDED_NODES_DISABLED	叢集未啟用 Shielded GKE 節點
RELEASE_CHANNEL_DISABLED	GKE 叢集未訂閱發布管道。
BIGQUERY_TABLE_CMEK_DISABLED	BigQuery 資料表未設為使用客戶自行管理的加密金鑰 (CMEK)。如要啟用這項偵測器，必須進行額外設定。
DATASET_CMEK_DISABLED	BigQuery 資料集未設定使用預設 CMEK。如要啟用這項偵測器，必須進行額外設定。
EGRESS_DENY_RULE_NOT_SET	防火牆未設定輸出拒絕規則。應設定輸出拒絕規則，封鎖不必要的輸出流量。
FIREWALL_RULE_LOGGING_DISABLED	防火牆規則記錄功能已停用。應啟用防火牆規則記錄功能，以便稽核網路存取情形。
OPEN_CASSANDRA_PORT	防火牆已設定為開放 Cassandra 通訊埠，允許一般存取。
OPEN_SMTP_PORT	防火牆已設定為開放 SMTP 通訊埠，允許一般存取。
OPEN_REDIS_PORT	防火牆已設定為開放 REDIS 通訊埠，允許一般存取。
OPEN_POSTGRESQL_PORT	防火牆已設定為開放 PostgreSQL 通訊埠，允許一般存取。
OPEN_POP3_PORT	防火牆已設定為開放 POP3 通訊埠，允許一般存取。
OPEN_ORACLEDB_PORT	防火牆已設定為開放 NETBIOS 通訊埠，允許一般存取。
OPEN_NETBIOS_PORT	防火牆已設定為開放 NETBIOS 通訊埠，允許一般存取。
OPEN_MYSQL_PORT	防火牆已設定為開放 MYSQL 通訊埠，允許一般存取。
OPEN_MONGODB_PORT	防火牆已設定為開放 MONGODB 通訊埠，允許一般存取。
OPEN_MEMCACHED_PORT	防火牆已設定為開放 MEMCACHED 通訊埠，允許一般存取權。
OPEN_LDAP_PORT	防火牆已設為開放 LDAP 通訊埠，允許一般存取。
OPEN_FTP_PORT	防火牆已設定為開放 FTP 通訊埠，允許一般存取。
OPEN_ELASTICSEARCH_PORT	防火牆已設定為開放 ELASTICSEARCH 通訊埠，允許一般存取。
OPEN_DNS_PORT	防火牆已設定為開放 DNS 通訊埠，允許一般存取。
OPEN_HTTP_PORT	防火牆已設定為開放 HTTP 通訊埠，允許一般存取。
OPEN_DIRECTORY_SERVICES_PORT	防火牆已設定為開放 DIRECTORY_SERVICES 通訊埠，允許一般存取。
OPEN_CISCOSECURE_WEBSM_PORT	防火牆已設定為開放 CISCOSECURE_WEBSM 通訊埠，允許一般存取。
OPEN_RDP_PORT	防火牆已設定為開放遠端桌面協定通訊埠，允許一般存取。
OPEN_TELNET_PORT	防火牆已設定為開放 TELNET 通訊埠，允許一般存取。
OPEN_FIREWALL	防火牆已設為對外開放。
OPEN_SSH_PORT	防火牆已設定為開放 SSH 通訊埠，允許一般存取權。
SERVICE_ACCOUNT_ROLE_SEPARATION	使用者已獲派服務帳戶管理員和服務帳戶使用者角色。這違反了「職責分離」原則。
NON_ORG_IAM_MEMBER	有使用者未使用機構憑證。根據 CIS Google Cloud Foundations 1.0，目前只有使用 @gmail.com 電子郵件地址的身分會觸發這項偵測工具。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	使用者在專案層級擁有「服務帳戶使用者」或「服務帳戶權杖建立者」角色，而非特定服務帳戶。
ADMIN_SERVICE_ACCOUNT	服務帳戶具有管理員、擁有者或編輯者權限。這些角色不應指派給使用者建立的服務帳戶。
SERVICE_ACCOUNT_KEY_NOT_ROTATED	服務帳戶金鑰已超過 90 天未輪替。
USER_MANAGED_SERVICE_ACCOUNT_KEY	使用者管理服務帳戶金鑰。
PRIMITIVE_ROLES_USED	使用者具備基本角色，例如擁有者、寫入者或讀取者。這些角色的權限過於寬鬆，不應使用。
KMS_ROLE_SEPARATION	系統未強制執行職責分離原則，且使用者同時擁有下列任一 Cloud Key Management Service (Cloud KMS) 角色：CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。
OPEN_GROUP_IAM_MEMBER	Google 群組帳戶可供加入，不必經過核准，因此做為 IAM 允許政策主體。
KMS_KEY_NOT_ROTATED	Cloud KMS 加密金鑰未設定輪替。金鑰應在 90 天內輪替。
KMS_PROJECT_HAS_OWNER	使用者對含有加密編譯金鑰的專案擁有「擁有者」權限。
TOO_MANY_KMS_USERS	加密編譯金鑰使用者人數超過三位。
OBJECT_VERSIONING_DISABLED	如果儲存空間值區已設定接收器，就無法啟用物件版本管理功能。
LOCKED_RETENTION_POLICY_NOT_SET	未為記錄設定鎖定的保留政策。
BUCKET_LOGGING_DISABLED	有儲存空間值區未啟用記錄功能。
LOG_NOT_EXPORTED	有資源未設定適當的記錄接收器。
AUDIT_LOGGING_DISABLED	這項資源的稽核記錄已停用。
MFA_NOT_ENFORCED	部分使用者未啟用兩步驟驗證。
ROUTE_NOT_MONITORED	您未設定記錄指標和快訊，監控虛擬私有雲網路路徑變更。
OWNER_NOT_MONITORED	您未設定記錄指標和快訊，因此無法監控專案擁有權指派或變更作業。
AUDIT_CONFIG_NOT_MONITORED	未設定記錄指標和快訊，以監控稽核設定變更。
BUCKET_IAM_NOT_MONITORED	系統未設定記錄指標和快訊，因此無法監控 Cloud Storage IAM 權限變更。
CUSTOM_ROLE_NOT_MONITORED	記錄指標和快訊未設定為監控自訂角色變更。
FIREWALL_NOT_MONITORED	您未設定記錄指標和快訊，以監控虛擬私有雲 (VPC) 網路防火牆規則變更。
NETWORK_NOT_MONITORED	您未設定記錄指標和快訊，監控虛擬私有雲網路變更。
SQL_INSTANCE_NOT_MONITORED	您未設定記錄指標和快訊，監控 Cloud SQL 執行個體設定變更。
DEFAULT_NETWORK	專案中存在預設網路。
DNS_LOGGING_DISABLED	虛擬私有雲網路的 DNS 記錄功能未啟用。
PUBSUB_CMEK_DISABLED	Pub/Sub 主題未以客戶管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
PUBLIC_SQL_INSTANCE	Cloud SQL 資料庫執行個體會接受來自所有 IP 位址的連線。
SSL_NOT_ENFORCED	Cloud SQL 資料庫執行個體未要求所有連入連線都使用 SSL。
AUTO_BACKUP_DISABLED	Cloud SQL 資料庫未啟用自動備份功能。
SQL_CMEK_DISABLED	SQL 資料庫執行個體未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
SQL_LOG_CHECKPOINTS_DISABLED	Cloud SQL for PostgreSQL 執行個體的 log_checkpoints 資料庫旗標未設為啟用。
SQL_LOG_CONNECTIONS_DISABLED	Cloud SQL for PostgreSQL 執行個體的 log_connections 資料庫旗標未設為「on」。
SQL_LOG_DISCONNECTIONS_DISABLED	Cloud SQL for PostgreSQL 執行個體的 log_disconnections 資料庫旗標未設為「on」。
SQL_LOG_DURATION_DISABLED	Cloud SQL for PostgreSQL 執行個體的 log_duration 資料庫旗標未設為啟用狀態。
SQL_LOG_LOCK_WAITS_DISABLED	Cloud SQL for PostgreSQL 執行個體的 log_lock_waits 資料庫旗標未設為「on」。
SQL_LOG_STATEMENT	Cloud SQL for PostgreSQL 執行個體的 log_statement 資料庫旗標未設為 Ddl (所有資料定義陳述式)。
SQL_NO_ROOT_PASSWORD	Cloud SQL 資料庫未為根帳戶設定密碼。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
SQL_PUBLIC_IP	Cloud SQL 資料庫具有公開 IP 位址。
SQL_CONTAINED_DATABASE_AUTHENTICATION	Cloud SQL for SQL Server 執行個體的 contained database authentication 資料庫旗標未設為「off」。
SQL_CROSS_DB_OWNERSHIP_CHAINING	Cloud SQL for SQL Server 執行個體的 cross_db_ownership_chaining 資料庫旗標未設為「off」。
SQL_LOCAL_INFILE	Cloud SQL for MySQL 執行個體的 local_infile 資料庫旗標未設為「off」。
SQL_LOG_MIN_ERROR_STATEMENT	Cloud SQL for PostgreSQL 執行個體的 log_min_error_statement 資料庫旗標未正確設定。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Cloud SQL for PostgreSQL 執行個體的 log_min_error_statement 資料庫旗標嚴重程度不適當。
SQL_LOG_TEMP_FILES	Cloud SQL for PostgreSQL 執行個體的 log_temp_files 資料庫旗標未設為「0」。
SQL_REMOTE_ACCESS_ENABLED	Cloud SQL for SQL Server 執行個體的 remote access 資料庫旗標未設為「off」。
SQL_SKIP_SHOW_DATABASE_DISABLED	MySQL 適用的 Cloud SQL 執行個體的 skip_show_database 資料庫旗標未設為「on」。
SQL_TRACE_FLAG_3625	Cloud SQL for SQL Server 執行個體的 3625 (追蹤記錄旗標) 資料庫旗標未設為 on。
SQL_USER_CONNECTIONS_CONFIGURED	已為 SQL Server 適用的 Cloud SQL 執行個體設定 user connections 資料庫旗標。
SQL_USER_OPTIONS_CONFIGURED	已為 SQL Server 適用的 Cloud SQL 執行個體設定 user options 資料庫旗標。
PUBLIC_BUCKET_ACL	Cloud Storage bucket 可公開存取。
BUCKET_POLICY_ONLY_DISABLED	未設定統一值區層級存取權 (先前稱為「僅值區政策」)。
BUCKET_CMEK_DISABLED	值區未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器，必須進行額外設定。如需操作說明，請參閱「啟用及停用偵測器」。
FLOW_LOGS_DISABLED	虛擬私有雲子網路已停用流程記錄。
PRIVATE_GOOGLE_ACCESS_DISABLED	有些私人子網路無法存取 Google 公開 API。
kms_key_region_europe	根據公司政策，所有加密金鑰都應儲存在歐洲。
kms_non_euro_region	根據公司政策，所有加密金鑰都應儲存在歐洲。
LEGACY_NETWORK	專案中存在舊版網路。
LOAD_BALANCER_LOGGING_DISABLED	負載平衡器的記錄功能已停用。

支援的 GCP_SECURITYCENTER_POSTURE_VIOLATION 發現項目

您可以在「Field mapping reference: POSTURE VIOLATION」(欄位對應參考資料：姿勢違規) 表格中找到 UDM 對應。

發現項目名稱	說明
SECURITY_POSTURE_DRIFT	偏離安全防護機制中定義的政策。安全防護機制服務會偵測到這項問題。
SECURITY_POSTURE_POLICY_DRIFT	安全防護機制服務偵測到機構政策有異動，但並非透過防護機制更新。
SECURITY_POSTURE_POLICY_DELETE	安全防護服務偵測到機構政策已遭刪除。這次刪除作業是在姿態更新以外的時間進行。
SECURITY_POSTURE_DETECTOR_DRIFT	安全防護狀態服務偵測到安全狀態分析偵測工具發生變更，但這項變更並非由防護狀態更新所致。
SECURITY_POSTURE_DETECTOR_DELETE	安全防護服務偵測到安全性狀態分析自訂模組已刪除。這次刪除作業是在姿態更新以外的時間進行。

支援的安全中心記錄格式

Security Center 剖析器支援 JSON 格式的記錄。

支援的 Security Center 記錄檔範例

GCP_SECURITYCENTER_THREAT 記錄範例

JSON

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME",
    "state": "ACTIVE",
    "category": "Credential Access: External Member Added To Privileged Group",
    "sourceProperties": {
      "sourceId": {
        "organizationNumber": "ORGANIZATION_ID",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "persistence",
        "indicator": "audit_log",
        "ruleName": "external_member_added_to_privileged_group"
      },
      "detectionPriority": "HIGH",
      "affectedResources": [
        {
          "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
        },
        {
          "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
        }
      ],
      "evidence": [
        {
          "sourceLogId": {
            "resourceContainer": "organizations/ORGANIZATION_ID",
            "timestamp": {
              "seconds": "1633622881",
              "nanos": 6.73869E8
            },
            "insertId": "INSERT_ID"
          }
        }
      ],
      "properties": {
        "externalMemberAddedToPrivilegedGroup": {
          "principalEmail": "abc@gmail.com",
          "groupName": "group:GROUP_NAME@ORGANIZATION_NAME",
          "externalMember": "user:abc@gamil.com",
          "sensitiveRoles": [
            {
              "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
              "roleName": [
                "ROLES"
              ]
            }
          ]
        }
      },
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "dummy display name",
          "url": " dummy.url.com"
        },
        "cloudLoggingQueryUri": [
          {
            "displayName": "Cloud Logging Query Link",
            "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d"
          }
        ]
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2022-10-01T16:08:03.888Z",
    "createTime": "2022-10-01T16:08:04.516Z",
    "severity": "HIGH",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "findingClass": "THREAT"
  },
  "resource": {
    "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
  }
}

GCP_SECURITYCENTER_MISCONFIGURATION 記錄範例

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "eventApps",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab",
    "category": "API_KEY_APIS_UNRESTRICTED",
    "compliances": [
      {
        "standard": "cis",
        "version": "1.0",
        "ids": [
          "1.12"
        ]
      },
      {
        "standard": "cis",
        "version": "1.1",
        "ids": [
          "1.14"
        ]
      },
      {
        "standard": "cis",
        "version": "1.2",
        "ids": [
          "1.14"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test@domainname.com"
          }
        ]
      }
    },
    "createTime": "2022-12-01T15:16:21.119Z",
    "database": {},
    "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "eventTime": "2022-12-01T14:35:42.317Z",
    "exfiltration": {},
    "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705",
    "findingClass": "MISCONFIGURATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "severity": "MEDIUM",
    "sourceDisplayName": "Security Health Analytics",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "display_name": "dummy-display-name",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "domainname.com",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\"
    "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.",
    "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
    "ScannerName": "API_KEY_SCANNER",
    "ResourcePath": [
      "projects/eventapps-27705/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "cis": [
        {
          "version": "1.0",
          "ids": [
            "1.12"
          ]
        },
        {
          "version": "1.1",
          "ids": [
            "1.14"
          ]
        },
        {
          "version": "1.2",
          "ids": [
            "1.14"
          ]
        }
      ]
    },
    "ReactivationCount": 0
  }
}

GCP_SECURITYCENTER_OBSERVATION 記錄範例

JSON

{
  "findings": {
    "access": {
      "principalEmail": "dummy.user@dummy.com",
      "callerIp": "198.51.100.1",
      "callerIpGeo": {
        "regionCode": "SG"
      },
      "serviceName": "compute.googleapis.com",
      "methodName": "v1.compute.projects.setCommonInstanceMetadata",
      "principalSubject": "user:dummy.user@dummy.com"
    },
    "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Persistence: Project SSH Key Added",        
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy.user@dummy.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2022-11-10T18:33:07.631Z",
    "database": {},
    "eventTime": "2022-11-10T18:33:07.271Z",
    "exfiltration": {},
    "findingClass": "OBSERVATION",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "primaryTactic": "PERSISTENCE",
      "primaryTechniques": [
        "ACCOUNT_MANIPULATION",
        "SSH_AUTHORIZED_KEYS"
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID",
    "parentDisplayName": "Sensitive Actions Service",
    "resourceName": "//compute.googleapis.com/projects/spring-banner-350111",
    "severity": "LOW",
    "sourceDisplayName": "Sensitive Actions Service",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/spring-banner-350111",
    "display_name": "spring-banner-350111",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "project_display_name": "dummy-project",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
    "parent_display_name": "spring-banner-350111",
    "type": "google.compute.Project",
    "folders": []
  },
  "sourceProperties": {
    "sourceId": {
      "projectNumber": "856289305908",
      "customerOrganizationNumber": "ORGANIZATION_ID"
    },
    "detectionCategory": {
      "ruleName": "sensitive_action",
      "subRuleName": "add_ssh_key"
    },
    "detectionPriority": "LOW",
    "affectedResources": [
      {
        "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111"
      },
      {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908"
      }
    ],
    "evidence": [
      {
        "sourceLogId": {
          "projectId": "spring-banner-350111",
          "resourceContainer": "projects/spring-banner-350111",
          "timestamp": {
            "seconds": "1668105185",
            "nanos": 642158000
          },
          "insertId": "v2stobd9ihi"
        }
      }
    ],
    "properties": {},
    "findingId": "findingId",
    "contextUris": {
      "mitreUri": {
        "displayName": "MITRE Link",
        "url": "dummy.domain.com"
      }
    }
  }
}

GCP_SECURITYCENTER_VULNERABILITY 記錄範例

JSON

{
  "findings": {
    "access": {},
    "assetDisplayName": "Sample-00000",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "CLEAR_TEXT_PASSWORD",
    "compliances": [
      {
        "standard": "owasp",
        "version": "2017",
        "ids": [
          "A3"
        ]
      },
      {
        "standard": "owasp",
        "version": "2021",
        "ids": [
          "A02"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "dummy@sample.com"
          }
        ]
      }
    },
    "createTime": "2022-11-24T09:28:52.589Z",
    "database": {},
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "eventTime": "2022-11-24T04:56:26Z",
    "exfiltration": {},
    "externalUri": "https://sample.dummy.com/",
    "findingClass": "VULNERABILITY",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Web Security Scanner",
    "resourceName": "//dummy.sample.com",
    "severity": "MEDIUM",
    "sourceDisplayName": "Web Security Scanner",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com",
    "display_name": "dummy_name",
    "project_name": "//cloudresourcemanager.googleapis.com",
    "project_display_name": "dummy_name",
    "parent_name": "//dummy.sample.com",
    "parent_display_name": "Sample-Dev-Project",
    "type": "sample.cloud.dummy.Project",
    "folders": [
      {
        "resourceFolderDisplayName": "Sample-Dev-Project",
        "resourceFolder": "//cloudresourcemanager.googleapis.com/"
      }
    ]
  },
  "sourceProperties": {
    "severity": "MEDIUM",
    "fuzzedUrl": "dummy.domain.com",
    "form": {
      "actionUri": "dummy.domain.com",
      "fields": [
        "os_username",
        "os_password",
        "",
        "os_cookie",
        "os_destination",
        "user_role",
        "atl_token",
        "login"
      ]
    },
    "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID",
    "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
    "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=",
    "httpMethod": "GET",
    "finalUrl": "http://0.0.0.0:0000/sample.dummy=",
    "ResourcePath": [
      "projects/sample-dummy/",
      "folders/FOLDER_ID/",
      "organizations/ORGANIZATION_ID/"
    ],
    "compliance_standards": {
      "owasp": [
        {
          "version": "2017",
          "ids": [
            "A3"
          ]
        },
        {
          "version": "2021",
          "ids": [
            "A02"
          ]
        }
      ]
    }
  }
}

GCP_SECURITYCENTER_ERROR 記錄範例

JSON

{
  "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
  "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
  "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423",
  "state": "ACTIVE",
  "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS",
  "securityMarks": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
  },
  "eventTime": "2022-11-23T16:36:03.458107Z",
  "createTime": "2022-11-01T07:36:37.078Z",
  "severity": "CRITICAL",
  "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID",
  "mute": "UNDEFINED",
  "findingClass": "SCC_ERROR",
  "access": {
    "callerIpGeo": {}
  },
  "contacts": {
    "security": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    },
    "technical": {
      "contacts": [
        {
          "email": "test.user@domain.com"
        }
      ]
    }
  },
  "parentDisplayName": "Security Command Center",
  "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.",
  "iamBindings": [
    {
      "member": "test.user@domain.com"
    }
  ],
  "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n   - If you don\\u0027t see the service account listed, click  **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n    1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update"
}

GCP_SECURITYCENTER_UNSPECIFIED 範例記錄

JSON

{
  "findings": {
    "access": {},
    "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "OPEN_FIREWALL",
    "compliances": [
      {
        "standard": "pci",
        "ids": [
          "1.2.1"
        ]
      }
    ],
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      },
      "technical": {
        "contacts": [
          {
            "email": "test.user@dummy.xyz"
          }
        ]
      }
    },
    "createTime": "2021-07-20T08:33:25.343Z",
    "database": {},
    "eventTime": "2022-07-19T07:44:38.374Z",
    "exfiltration": {},
    "externalUri": "dummy.domain.com",
    "indicator": {},
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "MUTED",
    "muteInitiator": "Muted by test.user@dummy.xyz",
    "muteUpdateTime": "2022-03-08T05:41:06.507Z",
    "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/595779152576/sources/SOURCE_ID"
    "parentDisplayName": "Security Health Analytics",
    "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "severity": "HIGH",
    "sourceDisplayName": "Sanity_grc",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
    "display_name": "",
    "project_name": "",
    "project_display_name": "",
    "parent_name": "",
    "parent_display_name": "",
    "type": "",
    "folders": []
  },
  "sourceProperties": {
    "ScannerName": "FIREWALL_SCANNER",
    "ResourcePath": [
      "projects/calcium-vial-280707/",
      "organizations/ORGANIZATION_ID/"
    ],
    "ReactivationCount": 0,
    "AllowedIpRange": "All",
    "ExternallyAccessibleProtocolsAndPorts": [
      {
        "IPProtocol": "tcp",
        "ports": [
          "80"
        ]
      }
    ]
  }
}

欄位對應參考資料

本節說明 Google Security Operations 剖析器如何將資料集的 Security Command Center 記錄欄位，對應至 Google Security Operations 統合式資料模型 (UDM) 欄位。

欄位對應參考資料：原始記錄欄位對應至 UDM 欄位

下表列出 Security Command Center Event Threat Detection 發現結果的記錄欄位和對應的 UDM 對應。

RawLog 欄位	UDM 對應	邏輯
`compliances.ids`	`about.labels [compliance_ids]` (已淘汰)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (已淘汰)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (已淘汰)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (已淘汰)	如果 `connections.destinationIp` 記錄檔欄位值不等於 `sourceProperties.properties.ipConnection.destIp`，則 `connections.destinationIp` 記錄檔欄位會對應至 `about.labels.value` UDM 欄位。
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	如果 `connections.destinationIp` 記錄檔欄位值不等於 `sourceProperties.properties.ipConnection.destIp`，則 `connections.destinationIp` 記錄檔欄位會對應至 `additional.fields.value.string_value` UDM 欄位。
`connections.destinationPort`	`about.labels [connections_destination_port]` (已淘汰)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (已淘汰)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (已淘汰)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (已淘汰)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	如果 `message` 記錄檔欄位值符合規則運算式模式 `kubernetes`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 CLUSTER。否則，如果 `message` 記錄檔欄位值符合規則運算式 `kubernetes.*?pods`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 POD。
	`about.resource.attribute.cloud.environment`	`about.resource.attribute.cloud.environment` UDM 欄位設為 `GOOGLE_CLOUD_PLATFORM`。
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	如果 `category` 記錄欄位值等於 `Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Impair Defenses: Two Step Verification Disabled` 或 `Persistence: SSO Enablement Toggle`，則 `extension.auth.type` UDM 欄位會設為 `SSO`。
	`extension.mechanism`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `extension.mechanism` UDM 欄位會設為 `USERNAME_PASSWORD`。
	`extensions.auth.type`	如果 `principal.user.user_authentication_status` 記錄檔欄位值等於 `ACTIVE`，則 `extensions.auth.type` UDM 欄位會設為 `SSO`。
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (已淘汰)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (已淘汰)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (已淘汰)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (已淘汰)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (已淘汰)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (已淘汰)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (已淘汰)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	如果 `category` 記錄檔欄位值等於 `Initial Access: Log4j Compromise Attempt`，則 `sourceProperties.properties.loadBalancerName` 記錄檔欄位會對應至 `intermediary.resource.name` UDM 欄位。
	`intermediary.resource.resource_type`	如果 `category` 記錄檔欄位值等於 `Initial Access: Log4j Compromise Attempt`，則 `intermediary.resource.resource_type` UDM 欄位會設為 `BACKEND_SERVICE`。
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	如果 `canonicalName` 記錄檔欄位值不為空，系統會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`。如果 `finding_id` 記錄檔欄位值為空，系統會將 `sourceProperties.evidence.sourceLogId.insertId` 記錄檔欄位對應至 `metadata.product_log_id` UDM 欄位。如果 `canonicalName` 記錄檔欄位值為空，系統會將 `sourceProperties.evidence.sourceLogId.insertId` 記錄檔欄位對應至 `metadata.product_log_id` UDM 欄位。
	`metadata.product_name`	`metadata.product_name` UDM 欄位設為 `Security Command Center`。
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	`metadata.vendor_name` UDM 欄位設為 `Google`。
	`network.application_protocol`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `network.application_protocol` UDM 欄位會設為 `DNS`。
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`，則 `sourceProperties.properties.indicatorContext.asn` 記錄檔欄位會對應至 `network.asn` UDM 欄位。
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`，則 `sourceProperties.properties.indicatorContext.carrierName` 記錄檔欄位會對應至 `network.carrier_name` UDM 欄位。
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.indicatorContext.reverseDnsDomain` 記錄檔欄位會對應至 `network.dns_domain` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseData.responseClass` 記錄檔欄位會對應至 `network.dns.answers.class` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	如果 `category` 記錄檔欄位值符合規則運算式 `Malware: Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseData.responseValue` 記錄檔欄位會對應至 `network.dns.answers.data` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseData.domainName` 記錄檔欄位會對應至 `network.dns.answers.name` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseData.ttl` 記錄檔欄位會對應至 `network.dns.answers.ttl` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseData.responseType` 記錄檔欄位會對應至 `network.dns.answers.type` UDM 欄位。
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `sourceProperties.properties.dnsContexts.authAnswer` 記錄檔欄位會對應至 `network.dns.authoritative` UDM 欄位。
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `sourceProperties.properties.dnsContexts.queryName` 記錄檔欄位會對應至 `network.dns.questions.name` UDM 欄位。
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `sourceProperties.properties.dnsContexts.queryType` 記錄檔欄位會對應至 `network.dns.questions.type` UDM 欄位。
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `sourceProperties.properties.dnsContexts.responseCode` 記錄檔欄位會對應至 `network.dns.response_code` UDM 欄位。
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	如果 `category` 記錄檔欄位值等於 `Persistence: New User Agent`，則 `sourceProperties.properties.anomalousSoftware.callerUserAgent` 記錄檔欄位會對應至 `network.http.user_agent` UDM 欄位。
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.callerUserAgent` 記錄檔欄位會對應至 `network.http.user_agent` UDM 欄位。
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	如果 `category` 記錄檔欄位值等於 `Discovery: Service Account Self-Investigation`，則 `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` 記錄檔欄位會對應至 `network.http.user_agent` UDM 欄位。
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	如果 `category` 記錄欄位值等於 `Malware: Bad IP`、`Malware: Cryptomining Bad IP` 或 `Malware: Outgoing DoS`，則 `network.ip_protocol` UDM 欄位會設為下列其中一個值： `ICMP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `1` 或 `ICMP`。 `IGMP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `2` 或 `IGMP`。 `TCP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `6` 或 `TCP`。 `UDP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `17` 或 `UDP`。 `IP6IN4`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `41` 或 `IP6IN4`。 `GRE`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `47` 或 `GRE`。 `ESP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `50` 或 `ESP`。 `EIGRP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `88` 或 `EIGRP`。 `ETHERIP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `97` 或 `ETHERIP`。 `PIM`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `103` 或 `PIM`。 `VRRP`，且符合下列條件： `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於 `112` 或 `VRRP`。如果 `sourceProperties.properties.ipConnection.protocol` 記錄欄位值等於任何其他值，則為 `UNKNOWN_IP_PROTOCOL`。
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.indicatorContext.organizationName` 記錄檔欄位會對應至 `network.organization_name` UDM 欄位。
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	如果 `category` 記錄檔欄位值等於 `Persistence: New User Agent`，則 `sourceProperties.properties.anomalousSoftware.behaviorPeriod` 記錄檔欄位會對應至 `network.session_duration` UDM 欄位。
`sourceProperties.properties.sourceIp`	`principal.ip`	如果 `category` 記錄檔欄位值符合規則運算式 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.sourceIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.sourceIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`access.callerIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`、`access.callerIp`、`Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Restore Backup to External Organization`、`Persistence: New Geography` 或 `Persistence: IAM Anomalous Grant`，則 `access.callerIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Discovery: Service Account Self-Investigation`，則 `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Evasion: Access from Anonymizing Proxy`，則 `sourceProperties.properties.changeFromBadIp.ip` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain` 或 `Malware: Cryptomining Bad Domain`，則 `sourceProperties.properties.dnsContexts.sourceIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`、`Malware: Cryptomining Bad IP` 或 `Malware: Outgoing DoS`，則 `sourceProperties.properties.ipConnection.srcIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，且 `sourceProperties.properties.ipConnection.srcIp` 記錄檔欄位值不等於 `sourceProperties.properties.indicatorContext.ipAddress`，則 `sourceProperties.properties.indicatorContext.ipAddress` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	如果 `category` 記錄檔欄位值等於 `Persistence: New Geography`，則 `sourceProperties.properties.anomalousLocation.callerIp` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (已淘汰)	如果 `category` 記錄檔欄位值符合規則運算式 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.scannerDomain` 記錄檔欄位會對應至 `principal.labels.key/value` UDM 欄位。
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	如果 `category` 記錄檔欄位值符合規則運算式 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.scannerDomain` 記錄檔欄位會對應至 `additional.fields.value.string_value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (已淘汰)	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.jobState` 記錄檔欄位會對應至 `principal.labels.key/value` 和 UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.jobState` 記錄檔欄位會對應至 `additional.fields.value.string_value` UDM 欄位。
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.indicatorContext.countryCode` 記錄檔欄位會對應至 `principal.location.country_or_region` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.job.location` 記錄檔欄位會對應至 `principal.location.country_or_region` UDM 欄位。
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.job.location` 記錄檔欄位會對應至 `principal.location.country_or_region` UDM 欄位。
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	如果 `category` 記錄檔欄位值等於 `Persistence: New Geography` 或 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` 記錄檔欄位會對應至 `principal.location.country_or_region` UDM 欄位。
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.anomalousLocation.anomalousLocation` 記錄檔欄位會對應至 `principal.location.name` UDM 欄位。
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP` 或 `Malware: Outgoing DoS`，則 `sourceProperties.properties.ipConnection.srcPort` 記錄檔欄位會對應至 `principal.port` UDM 欄位。
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.jobLink` 記錄檔欄位會對應至 `principal.process.file.full_path` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.jobLink` 記錄檔欄位會對應至 `principal.process.file.full_path` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` 記錄檔欄位會對應至 `principal.process.pid` UDM 欄位。
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.job.jobId` 記錄檔欄位會對應至 `principal.process.pid` UDM 欄位。
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.srcVpc.subnetworkName` 記錄檔欄位會對應至 `principal.resource_ancestors.attribute.labels.value` UDM 欄位。
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.srcVpc.projectId` 記錄檔欄位會對應至 `principal.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `principal.resource_ancestors.name` UDM 欄位，且 `principal.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	如果 `message` 記錄檔欄位值符合規則運算式 `sourceProperties.sourceId.*?customerOrganizationNumber`，則 `sourceProperties.sourceId.customerOrganizationNumber` 記錄檔欄位會對應至 `principal.resource.attribute.labels.key/value` UDM 欄位。
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	如果 `sourceProperties.properties.projectId` 記錄檔欄位值不為空，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `principal.resource.name` UDM 欄位。
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	如果 `category` 記錄檔欄位值等於 `Discovery: Service Account Self-Investigation`，則 `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` 記錄檔欄位會對應至 `principal.resource.name` UDM 欄位。
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	如果 `category` 記錄檔欄位值等於 `Malware: Outgoing DoS`，則 `sourceProperties.properties.sourceInstanceDetails` 記錄檔欄位會對應至 `principal.resource.name` UDM 欄位。
	`principal.user.account_type`	如果 `access.principalSubject` 記錄檔欄位值符合規則運算式 `serviceAccount`，則 `principal.user.account_type` UDM 欄位會設為 `SERVICE_ACCOUNT_TYPE`。否則，如果 `access.principalSubject` 記錄檔欄位值符合規則運算式 `user`，則 `principal.user.account_type` UDM 欄位會設為 `CLOUD_ACCOUNT_TYPE`。
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	如果 `category` 記錄檔欄位值等於 `Discovery: Service Account Self-Investigation`，則 `principal.user.attribute.labels.key` UDM 欄位會設為 `rawUserAgent`，且 `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` 記錄檔欄位會對應至 `principal.user.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Discovery: Service Account Self-Investigation`，則 `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Evasion: Access from Anonymizing Proxy`，則 `sourceProperties.properties.changeFromBadIp.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.userEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`、`Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Impair Defenses: Strong Authentication Disabled`、`Impair Defenses: Two Step Verification Disabled`、`Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `sourceProperties.properties.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Initial Access: Suspicious Login Blocked`，則 `sourceProperties.properties.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`access.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Restore Backup to External Organization` 或 `Persistence: New Geography`，則 `access.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.sensitiveRoleGrant.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Persistence: New User Agent`，則 `sourceProperties.properties.anomalousSoftware.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Persistence: New Geography`，則 `sourceProperties.properties.anomalousLocation.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Credential Access: External Member Added To Privileged Group`，則 `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Credential Access: Privileged Group Opened To Public`，則 `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Credential Access: Sensitive Role Granted To Hybrid Group`，則 `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.vpcViolation.userEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	如果 `category` 記錄檔欄位值等於 `Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Impair Defenses: Two Step Verification Disabled` 或 `Persistence: SSO Enablement Toggle`，則 `sourceProperties.properties.ssoState` 記錄檔欄位會對應至 `principal.user.user_authentication_status` UDM 欄位。
`database.userName`	`principal.user.userid`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `database.userName` 記錄檔欄位會對應至 `principal.user.userid` UDM 欄位。
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.threatIntelligenceSource` 記錄檔欄位會對應至 `security_result.about.application` UDM 欄位。
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.sourceIp` 記錄檔欄位會對應至 `security_result.about.ip` UDM 欄位。
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` 記錄檔欄位會對應至 `security_result.about.resource.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.delta.restrictedResources.resourceName` 記錄檔欄位會對應至 `security_result.about.resource.name` UDM 欄位，且 `security_result.about.resource_type` UDM 欄位會設為 `CLOUD_PROJECT`。
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.delta.allowedServices.serviceName` 記錄檔欄位會對應至 `security_result.about.resource.name` UDM 欄位，且 `security_result.about.resource_type` UDM 欄位會設為 `BACKEND_SERVICE`。
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.delta.restrictedServices.serviceName` 記錄檔欄位會對應至 `security_result.about.resource.name` UDM 欄位，且 `security_result.about.resource_type` UDM 欄位會設為 `BACKEND_SERVICE`。
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.delta.accessLevels.policyName` 記錄檔欄位會對應至 `security_result.about.resource.name` UDM 欄位，且 `security_result.about.resource_type` UDM 欄位會設為 `ACCESS_POLICY`。
	`security_result.about.user.attribute.roles.name`	如果 `message` 記錄檔欄位值符合規則運算式 `contacts.?security`，則 `security_result.about.user.attribute.roles.name` UDM 欄位會設為 `security`。如果 `message` 記錄檔欄位值符合規則運算式 `contacts.?technical`，則 `security_result.about.user.attribute.roles.name` UDM 欄位會設為 `Technical`。
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	如果 `category` 記錄檔欄位值等於 `Initial Access: Suspicious Login Blocked`，則 `security_result.action` UDM 欄位會設為 `BLOCK`。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，且 `sourceProperties.properties.attempts.authResult` 記錄檔欄位值等於 `SUCCESS`，則 `security_result.action` UDM 欄位會設為 `BLOCK`。否則，`security_result.action` UDM 欄位會設為 `BLOCK`。
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.delta.restrictedResources.action` 記錄檔欄位會對應至 `security_result.action_details` UDM 欄位。
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.delta.restrictedServices.action` 記錄檔欄位會對應至 `security_result.action_details` UDM 欄位。
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.delta.allowedServices.action` 記錄檔欄位會對應至 `security_result.action_details` UDM 欄位。
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.delta.accessLevels.action` 記錄檔欄位會對應至 `security_result.action_details` UDM 欄位。
	`security_result.alert_state`	如果 `state` 記錄欄位值等於 `ACTIVE`，則 `security_result.alert_state` UDM 欄位會設為 `ALERTING`。否則，`security_result.alert_state` UDM 欄位會設為 `NOT_ALERTING`。
`findingClass`	`security_result.catgory_details`	`findingClass - category` 記錄檔欄位會對應至 `security_result.catgory_details` UDM 欄位。
`category`	`security_result.catgory_details`	`findingClass - category` 記錄檔欄位會對應至 `security_result.catgory_details` UDM 欄位。
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	如果 `mute` 記錄檔欄位值等於 `MUTED` 或 `UNMUTED`，則 `muteInitiator` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	如果 `mute` 記錄檔欄位值等於 `MUTED` 或 `UNMUTED`，則 `muteUpdateTimer` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	如果 `category` 記錄檔欄位值等於 `Persistence: New User Agent`，則 `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.authResult` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.customer_industry` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.customer_name` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.lasthit` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.myVote` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.support_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.tag_name` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.upVotes` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.downVotes` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`、`Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Over-Privileged Grant`、`Exfiltration: CloudSQL Restore Backup to External Organization`、`Initial Access: Log4j Compromise Attempt`、`Malware: Cryptomining Bad Domain`、`Malware: Cryptomining Bad IP` 或 `Persistence: IAM Anomalous Grant`，則 `security_result.detection_fields.key` UDM 欄位會設為 `sourceProperties_contextUris_relatedFindingUri_url`，且 `sourceProperties.contextUris.relatedFindingUri.url` 記錄檔欄位會對應至 `metadata.url_back_to_product` UDM 欄位。
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain` 或 `Malware: Cryptomining Bad IP`，則 `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` 記錄檔欄位會對應至 `security_result.detection_fields.key` UDM 欄位，而 `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	如果 `category` 記錄檔欄位值等於 `Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Impair Defenses: Strong Authentication Disabled`、`Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.contextUris.workspacesUri.displayName` 記錄檔欄位會對應至 `security_result.detection_fields.key` UDM 欄位，而 `sourceProperties.contextUris.workspacesUri.url` 記錄檔欄位會對應至 `security_result.detection_fields.key/value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` 記錄檔欄位會對應至 `intermediary.labels.key` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.tags.description` 記錄檔欄位會對應至 `intermediary.labels.value` UDM 欄位。
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`，則 `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `HIGH`，則 `security_result.priority` UDM 欄位會設為 `HIGH_PRIORITY`。否則，如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `MEDIUM`，則 `security_result.priority` UDM 欄位會設為 `MEDIUM_PRIORITY`。否則，如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `LOW`，則 `security_result.priority` UDM 欄位會設為 `LOW_PRIORITY`。
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Exfiltration`，則 `sourceProperties.properties.vpcViolation.violationReason` 記錄檔欄位會對應至 `security_result.summary` UDM 欄位。
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `database.query` 記錄檔欄位會對應至 `src.process.command_line` UDM 欄位。
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.folders.resourceFolderDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.parentDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.parentName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.projectDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。
`parent`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `parent` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位，且 `src.resource_ancestors.resource_type` UDM 欄位會設為 `TABLE`。
`resourceName`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `resourceName` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.folders.resourceFolder` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.sourceId.customerOrganizationNumber` 記錄檔欄位會對應至 `src.resource_ancestors.product_object_id` UDM 欄位。
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.sourceId.projectNumber` 記錄檔欄位會對應至 `src.resource_ancestors.product_object_id` UDM 欄位。
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.sourceId.organizationNumber` 記錄檔欄位會對應至 `src.resource_ancestors.product_object_id` UDM 欄位。
`resource.type`	`src.resource_ancestors.resource_subtype`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.type` 記錄檔欄位會對應至 `src.resource_ancestors.resource_subtype` UDM 欄位。
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `database.displayName` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `src.resource.attribute.labels.key` UDM 欄位會設為 `grantees`，且 `database.grantees` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.displayName` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`resource.displayName`	`principal.hostname`	如果 `resource.type` 記錄檔欄位值符合規則運算式模式 `(?i)google.compute.Instance or google.container.Cluster`，則 `resource.displayName` 記錄檔欄位會對應至 `principal.hostname` UDM 欄位。
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.display_name` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.sourceTable.projectId` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.backupId` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration` 或 `Exfiltration: BigQuery Data Extraction`，則 `src.resource.attribute.labels.key/value` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`resourceName`	`src.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.sources.name` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位，而 `resourceName` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位，且 `src.resource.resource_subtype` UDM 欄位會設為 `CloudSQL`。
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位，且 `src.resource.resource_subtype` UDM 欄位會設為 `CloudSQL`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位，且 `src.resource.resource_subtype` UDM 欄位會設為 `CloudSQL`。
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.sources.name` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位，而 `resourceName` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.sourceTable.tableId` 記錄檔欄位會對應至 `src.resource.product_object_id` UDM 欄位。
`access.serviceName`	`target.application`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`、`Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Restore Backup to External Organization`、`Exfiltration: CloudSQL Over-Privileged Grant`、`Persistence: New Geography` 或 `Persistence: IAM Anomalous Grant`，則 `access.serviceName` 記錄檔欄位會對應至 `target.application` UDM 欄位。
`sourceProperties.properties.serviceName`	`target.application`	如果 `category` 記錄檔欄位值等於 `Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Impair Defenses: Strong Authentication Disabled`、`Impair Defenses: Two Step Verification Disabled`、`Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.properties.serviceName` 記錄檔欄位會對應至 `target.application` UDM 欄位。
`sourceProperties.properties.domainName`	`target.domain.name`	如果 `category` 記錄檔欄位值等於 `Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.properties.domainName` 記錄檔欄位會對應至 `target.domain.name` UDM 欄位。
`sourceProperties.properties.domains.0`	`target.domain.name`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.domains.0` 記錄檔欄位會對應至 `target.domain.name` UDM 欄位。
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` 記錄檔欄位會對應至 `target.group.attribute.labels.key/value` UDM 欄位。
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	如果 `category` 記錄檔欄位值等於 `Credential Access: Sensitive Role Granted To Hybrid Group`，則 `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` 記錄檔欄位會對應至 `target.group.attribute.labels.key/value` UDM 欄位。
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` 記錄檔欄位會對應至 `target.group.attribute.labels.key/value` UDM 欄位。
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	如果 `category` 記錄檔欄位值等於 `Credential Access: Sensitive Role Granted To Hybrid Group`，則 `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` 記錄檔欄位會對應至 `target.group.attribute.labels.key/value` UDM 欄位。
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Privileged Group Opened To Public`，則 `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` 記錄檔欄位會對應至 `target.group.attribute.permissions.name` UDM 欄位。
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.customRoleSensitivePermissions.permissions` 記錄檔欄位會對應至 `target.group.attribute.permissions.name` UDM 欄位。
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: External Member Added To Privileged Group`，則 `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` 記錄檔欄位會對應至 `target.group.attribute.roles.name` UDM 欄位。
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Sensitive Role Granted To Hybrid Group`，則 `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` 記錄檔欄位會對應至 `target.group.attribute.roles.name` UDM 欄位。
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` 記錄檔欄位會對應至 `target.group.attribute.roles.name` UDM 欄位。
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Privileged Group Opened To Public`，則 `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` 記錄檔欄位會對應至 `target.group.attribute.roles.name` UDM 欄位。
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	如果 `category` 記錄檔欄位值等於 `Persistence: IAM Anomalous Grant`，則 `sourceProperties.properties.customRoleSensitivePermissions.roleName` 記錄檔欄位會對應至 `target.group.attribute.roles.name` UDM 欄位。
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	如果 `category` 記錄檔欄位值等於 `Credential Access: External Member Added To Privileged Group`，則 `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` 記錄檔欄位會對應至 `target.group.group_display_name` UDM 欄位。
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Privileged Group Opened To Public`，則 `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` 記錄檔欄位會對應至 `target.group.group_display_name` UDM 欄位。
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Sensitive Role Granted To Hybrid Group`，則 `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` 記錄檔欄位會對應至 `target.group.group_display_name` UDM 欄位。
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP`、`Malware: Cryptomining Bad IP` 或 `Malware: Outgoing DoS`，則 `sourceProperties.properties.ipConnection.destIp` 記錄檔欄位會對應至 `target.ip` UDM 欄位。
`access.methodName`	`target.labels [access_methodName]` (已淘汰)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (已淘汰)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (已淘汰)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (已淘汰)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (已淘汰)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (已淘汰)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (已淘汰)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (已淘汰)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (已淘汰)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (已淘汰)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (已淘汰)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (已淘汰)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (已淘汰)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (已淘汰)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (已淘汰)	如果 `category` 記錄檔欄位值等於 `Impair Defenses: Strong Authentication Disabled`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.properties.methodName` 記錄檔欄位會對應至 `target.labels.value` UDM 欄位。
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	如果 `category` 記錄檔欄位值等於 `Impair Defenses: Strong Authentication Disabled`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.properties.methodName` 記錄檔欄位會對應至 `additional.fields.value.string_value` UDM 欄位。
`sourceProperties.properties.network.location`	`target.location.name`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP`、`Malware: Cryptomining Bad IP`、`Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.network.location` 記錄檔欄位會對應至 `target.location.name` UDM 欄位。
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP` 或 `Malware: Outgoing DoS`，則 `sourceProperties.properties.ipConnection.destPort` 記錄檔欄位會對應至 `target.port` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.query` 記錄檔欄位會對應至 `target.process.command_line` UDM 欄位。
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	`containers.labels.name` 記錄檔欄位會對應至 `target.resource_ancestors.attribute.labels.key` UDM 欄位，`containers.labels.value` 記錄檔欄位則會對應至 `target.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.destVpc.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP` 或 `Malware: Bad IP`，則 `sourceProperties.properties.destVpc.subnetworkName` 記錄檔欄位會對應至 `target.resource_ancestors.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `sourceProperties.properties.network.subnetworkName` 記錄檔欄位會對應至 `target.resource_ancestors.value` UDM 欄位。
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `sourceProperties.properties.network.subnetworkId` 記錄檔欄位會對應至 `target.resource_ancestors.value` UDM 欄位。
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`resourceName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`parent`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`containers.name`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: External Member Added To Privileged Group`，則 `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Credential Access: Privileged Group Opened To Public`，則 `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Cryptomining Bad IP`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain`、`Malware: Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.destVpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，`sourceProperties.properties.vpc.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VPC_NETWORK`。如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`，則 `sourceProperties.properties.vpcName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio` 或 `Allowed Traffic Spike`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `sourceProperties.properties.gceInstanceId` 記錄檔欄位會對應至 `target.resource_ancestors.product_object_id` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`containers.imageId`	`target.resource_ancestors.product_object_id`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added Startup Script` 或 `Persistence: GCE Admin Added SSH Key`，則 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.zone` 記錄檔欄位會對應至 `target.resource.attribute.cloud.availability_zone` UDM 欄位。
`canonicalName`	`metadata.product_log_id`	系統會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`。如果 `finding_id` 記錄檔欄位值不是空白，則 `finding_id` 記錄檔欄位會對應至 `metadata.product_log_id` UDM 欄位。
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	如果 `finding_id` 記錄檔欄位值不為空，則 `finding_id` 記錄檔欄位會對應至 `src.resource.attribute.labels.key/value [finding_id]` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `src.resource.product_object_id` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `src.resource.attribute.labels.key/value [source_id]` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	如果 `finding_id` 記錄檔欄位值不為空，則 `finding_id` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value [finding_id]` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `finding_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `target.resource.product_object_id` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value [source_id]` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `target.resource.attribute.labels.key` UDM 欄位會設為 `exportScope`，且 `sourceProperties.properties.exportToGcs.exportScope` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.objectName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.originalUri` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.metadataKeyOperation` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value` UDM 欄位。
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration` 或 `Exfiltration: BigQuery Data Extraction`，則 `exfiltration.targets.components` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value` UDM 欄位。
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketAccess` 記錄檔欄位會對應至 `target.resource.attribute.permissions.name` UDM 欄位。
`sourceProperties.properties.name`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`resourceName`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.instanceDetails`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`exfiltration.targets.name`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.bucketResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Restore Backup to External Organization`，則 `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.vmName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於「惡意軟體：不良網域」或 `Malware: Bad IP` 或 `Malware: Cryptomining Bad IP` 或 `Malware: Cryptomining Bad Domain` 或 `Configurable Bad Domain`，則 `sourceProperties.properties.instanceDetails` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.attribute.name` UDM 欄位，且 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，且 `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` 記錄檔欄位會對應至 `target.resource.attribute.labels` UDM 欄位，而 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.instanceId` 記錄檔欄位會對應至 `target.resource.product_object_id` UDM 欄位。
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.destinations.collectionName` 記錄檔欄位會對應至 `target.resource.resource_subtype` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Credential Access: External Member Added To Privileged Group`，則 `target.resource.resource_subtype` UDM 欄位會設為 `Privileged Group`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `target.resource.resource_subtype` UDM 欄位會設為 `BigQuery`。
	`target.resource.resource_type`	如果 `sourceProperties.properties.extractionAttempt.destinations.collectionType` 記錄檔欄位值符合規則運算式 `BUCKET`，則 `target.resource.resource_type` UDM 欄位會設為 `STORAGE_BUCKET`。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `target.resource.resource_type` UDM 欄位會設為 `TABLE`。
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `sourceProperties.properties.extractionAttempt.jobLink` 記錄檔欄位會對應至 `target.url` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`，則 `sourceProperties.properties.extractionAttempt.jobLink` 記錄檔欄位會對應至 `target.url` UDM 欄位。
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration`，則 `sourceProperties.properties.exportToGcs.gcsUri` 記錄檔欄位會對應至 `target.url` UDM 欄位。
`sourceProperties.properties.requestUrl`	`target.url`	如果 `category` 記錄檔欄位值等於 `Initial Access: Log4j Compromise Attempt`，則 `sourceProperties.properties.requestUrl` 記錄檔欄位會對應至 `target.url` UDM 欄位。
`sourceProperties.properties.policyLink`	`target.url`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`，則 `sourceProperties.properties.policyLink` 記錄檔欄位會對應至 `target.url` UDM 欄位。
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	如果 `category` 記錄檔欄位值等於 `Persistence: New Geography`，則 `sourceProperties.properties.anomalousLocation.notSeenInLast` 記錄檔欄位會對應至 `target.user.attribute.labels.value` UDM 欄位。
`sourceProperties.properties.attempts.username`	`target.user.userid`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.attempts.username` 記錄檔欄位會對應至 `target.user.userid` UDM 欄位。如果 `category` 記錄檔欄位值等於 `Initial Access: Suspicious Login Blocked`，則 `userid` 記錄檔欄位會對應至 `target.user.userid` UDM 欄位。
`sourceProperties.properties.principalEmail`	`target.user.userid`	如果 `category` 記錄檔欄位值等於 `Initial Access: Suspicious Login Blocked`，則 `userid` 記錄檔欄位會對應至 `target.user.userid` UDM 欄位。
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (已淘汰)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (已淘汰)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (已淘汰)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (已淘汰)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Added Binary Executed` 或 `Added Library Loaded`，則 `sourceProperties.VM_Instance_Name` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource_ancestors.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio`、`Allowed Traffic Spike` 或 `Application DDoS Attack Attempt`，則 `sourceProperties.Backend_Service` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位，而 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	如果 `category` 記錄檔欄位值等於 `Increasing Deny Ratio`、`Allowed Traffic Spike` 或 `Application DDoS Attack Attempt`，則 `target.resource.resource_type` UDM 欄位會設為 `BACKEND_SERVICE`。如果 `category` 記錄檔欄位值等於 `Configurable Bad Domain`，則 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok：從 `sourceProperties.properties.sensitiveRoleGrant.principalEmail` 記錄欄位擷取 `user_id`，然後將 `user_id` 欄位對應至 `principal.user.userid` UDM 欄位。
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok：從 `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` 記錄欄位擷取 `user_id`，然後將 `user_id` 欄位對應至 `principal.user.userid` UDM 欄位。
`resourceName`	`principal.asset.location.name`	如果 `parentDisplayName` 記錄檔欄位值等於 `Virtual Machine Threat Detection`，則 Grok 會從 `resourceName` 記錄檔欄位擷取 `project_name`、`region`、`zone_suffix`、`asset_prod_obj_id`，然後將 `region` 記錄檔欄位對應至 `principal.asset.location.name` UDM 欄位。
`resourceName`	`principal.asset.product_object_id`	如果 `parentDisplayName` 記錄檔欄位值等於 `Virtual Machine Threat Detection`，則 Grok 會從 `resourceName` 記錄檔欄位擷取 `project_name`、`region`、`zone_suffix`、`asset_prod_obj_id`，然後將 `asset_prod_obj_id` 記錄檔欄位對應至 `principal.asset.product_object_id` UDM 欄位。
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	如果 `parentDisplayName` 記錄檔欄位值等於 `Virtual Machine Threat Detection`，則 Grok 會從 `resourceName` 記錄檔欄位擷取 `project_name`、`region`、`zone_suffix`、`asset_prod_obj_id`，然後將 `zone_suffix` 記錄檔欄位對應至 `principal.asset.attribute.cloud.availability_zone` UDM 欄位。
`resourceName`	`principal.asset.attribute.labels[project_name]`	如果 `parentDisplayName` 記錄檔欄位值等於 `Virtual Machine Threat Detection`，則 Grok 會從 `resourceName` 記錄檔欄位擷取 `project_name`、`region`、`zone_suffix`、`asset_prod_obj_id`，然後將 `project_name` 記錄檔欄位對應至 `principal.asset.attribute.labels.value` UDM 欄位。
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.methodName` 記錄檔欄位會對應至 `target.labels` UDM 欄位。
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.methodName` 記錄檔欄位會對應至 `additional.fields` UDM 欄位。
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.serviceName` 記錄檔欄位會對應至 `target.labels` UDM 欄位。
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.serviceName` 記錄檔欄位會對應至 `additional.fields` UDM 欄位。
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.attemptTimes` 記錄檔欄位會對應至 `target.labels` UDM 欄位。
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.attemptTimes` 記錄檔欄位會對應至 `additional.fields` UDM 欄位。
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.lastOccurredTime` 記錄檔欄位會對應至 `target.labels` UDM 欄位。
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	如果 `category` 記錄檔欄位值等於 `Initial Access: Excessive Permission Denied Actions`，則 `sourceProperties.properties.failedActions.lastOccurredTime` 記錄檔欄位會對應至 `additional.fields` UDM 欄位。
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	如果 `category` 記錄檔欄位值包含下列其中一個值，則 `resource.resourcePathString` 記錄檔欄位會對應至 `src.resource.attribute.labels[resource_path_string]` UDM 欄位。 `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` 否則，`resource.resourcePathString` 記錄檔欄位會對應至 `target.resource.attribute.labels[resource_path_string]` UDM 欄位。

欄位對應參照：事件 ID 對應事件類型

活動 ID	事件類型	安全類別
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

下表列出 Security Command Center - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION 發現項目類別的 UDM 事件類型和 UDM 欄位對應。

「VULNERABILITY」類別到 UDM 事件類型

下表列出 VULNERABILITY 類別和對應的 UDM 事件類型。

活動 ID	事件類型	安全類別
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

MISCONFIGURATION 類別到 UDM 事件類型

下表列出 MISCONFIGURATION 類別和對應的 UDM 事件類型。

活動 ID	事件類型
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

OBSERVATION 類別到 UDM 事件類型

下表列出 OBSERVATION 類別及其對應的 UDM 事件類型。

活動 ID	事件類型
持續性：已新增專案安全殼層金鑰	SETTING_MODIFICATION
持續性：新增敏感角色	RESOURCE_PERMISSIONS_CHANGE
影響：已建立 GPU 執行個體	USER_RESOURCE_CREATION
影響：建立許多執行個體	USER_RESOURCE_CREATION

ERROR 類別至 UDM 事件類型

下表列出 ERROR 類別及其對應的 UDM 事件類型。

活動 ID	事件類型
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

UNSPECIFIED 類別至 UDM 事件類型

下表列出 UNSPECIFIED 類別和對應的 UDM 事件類型。

活動 ID	事件類型	安全類別
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

POSTURE_VIOLATION 類別對應至 UDM 事件類型

下表列出 POSTURE_VIOLATION 類別和對應的 UDM 事件類型。

活動 ID	事件類型
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

欄位對應參考資料：VULNERABILITY

下表列出 VULNERABILITY 類別的記錄欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應	邏輯
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	使用 Grok 模式從 `resourceName` 中擷取 `region`，並對應至 `principal.asset.location.name` UDM 欄位。
resourceName	principal.asset.product_object_id	使用 Grok 模式從 `resourceName` 中擷取 `asset_prod_obj_id`，並對應至 `principal.asset.product_object_id` UDM 欄位。
resourceName	principal.asset.attribute.cloud.availability_zone	使用 Grok 模式從 `resourceName` 中擷取 `zone_suffix`，並對應至 `principal.asset.attribute.cloud.availability_zone` UDM 欄位。
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

欄位對應參考資料：MISCONFIGURATION

下表列出 MISCONFIGURATION 類別的記錄檔欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

欄位對應參考資料：OBSERVATION

下表列出 OBSERVATION 類別的記錄欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

欄位對應參考資料：錯誤

下表列出 ERROR 類別的記錄檔欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

欄位對應參考資料：UNSPECIFIED

下表列出 UNSPECIFIED 類別的記錄檔欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

欄位對應參考資料：POSTURE_VIOLATION

下表列出 POSTURE_VIOLATION 類別的記錄欄位，以及對應的 UDM 欄位。

記錄欄位	UDM 對應	邏輯
`finding.resourceName`	`target.resource_ancestors.name`	如果 `finding.resourceName` 記錄檔欄位值不為空，則 `finding.resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。系統會使用 Grok 模式，從 `finding.resourceName` 記錄檔欄位擷取 `project_name` 欄位。如果 `project_name` 欄位值不是空白，系統就會將 `project_name` 欄位對應至 `target.resource_ancestors.name` UDM 欄位。
`resourceName`	`target.resource_ancestors.name`	如果 `resourceName` 記錄檔欄位值不為空，則 `resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。系統會使用 Grok 模式從 `resourceName` 記錄檔欄位擷取 `project_name` 欄位。如果 `project_name` 欄位值不為空，則 `project_name` 欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	如果 `finding.cloudProvider` 記錄檔欄位值包含下列其中一個值，則 `finding.cloudProvider` 記錄檔欄位會對應至 `about.resource.attribute.cloud.environment` UDM 欄位。 `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` 。
`cloudProvider`	`about.resource.attribute.cloud.environment`	如果 `cloudProvider` 記錄檔欄位值包含下列其中一個值，則 `cloudProvider` 記錄檔欄位會對應至 `about.resource.attribute.cloud.environment` UDM 欄位。 `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` 。
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	如果 `resource.cloudProvider` 記錄檔欄位值包含下列其中一個值，則 `resource.cloudProvider` 記錄檔欄位會對應至 `target.resource.attribute.cloud.environment` UDM 欄位。 `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` 。
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

常見欄位：SECURITY COMMAND CENTER - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION

下表列出「SECURITY COMMAND CENTER - VULNERABILITY」、「MISCONFIGURATION」、「OBSERVATION」、「ERROR」、「UNSPECIFIED」、「POSTURE_VIOLATION」、「TOXIC_COMBINATION」類別的常見欄位，以及對應的 UDM 欄位。

RawLog 欄位	UDM 對應	邏輯
`compliances.ids`	`about.labels [compliance_ids]` (已淘汰)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (已淘汰)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (已淘汰)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (已淘汰)	如果 `connections.destinationIp` 記錄檔欄位值不等於 `sourceProperties.properties.ipConnection.destIp`，則 `connections.destinationIp` 記錄檔欄位會對應至 `about.labels.value` UDM 欄位。
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	如果 `connections.destinationIp` 記錄檔欄位值不等於 `sourceProperties.properties.ipConnection.destIp`，則 `connections.destinationIp` 記錄檔欄位會對應至 `additional.fields.value` UDM 欄位。
`connections.destinationPort`	`about.labels [connections_destination_port]` (已淘汰)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (已淘汰)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (已淘汰)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (已淘汰)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	`target.resource_ancestors.resource_type` UDM 欄位設為 `CLUSTER`。
	`about.resource.attribute.cloud.environment`	`about.resource.attribute.cloud.environment` UDM 欄位設為 `GOOGLE_CLOUD_PLATFORM`。
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (已淘汰)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (已淘汰)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (已淘汰)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (已淘汰)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (已淘汰)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (已淘汰)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (已淘汰)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (已淘汰)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	如果 `canonicalName` 記錄檔欄位值不為空，系統會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`。如果 `finding_id` 記錄檔欄位值為空，系統會將 `sourceProperties.evidence.sourceLogId.insertId` 記錄檔欄位對應至 `metadata.product_log_id` UDM 欄位。如果 `canonicalName` 記錄檔欄位值為空，系統會將 `sourceProperties.evidence.sourceLogId.insertId` 記錄檔欄位對應至 `metadata.product_log_id` UDM 欄位。
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	如果 `message` 記錄檔欄位值符合規則運算式 `sourceProperties.sourceId.*?customerOrganizationNumber`，則 `sourceProperties.sourceId.customerOrganizationNumber` 記錄檔欄位會對應至 `principal.resource.attribute.labels.value` UDM 欄位。
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	如果 `access.principalSubject` 記錄檔欄位值符合規則運算式 `serviceAccount`，則 `principal.user.account_type` UDM 欄位會設為 `SERVICE_ACCOUNT_TYPE`。否則，如果 `access.principalSubject` 記錄檔欄位值符合規則運算式 `user`，則 `principal.user.account_type` UDM 欄位會設為 `CLOUD_ACCOUNT_TYPE`。
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	如果 `access.principalEmail` 記錄檔欄位值不為空，且 `access.principalEmail` 記錄檔欄位值符合規則運算式 `^.+@.+$`，則 `access.principalEmail` 記錄檔欄位會對應至 `principal.user.email_addresses` UDM 欄位。
`access.principalEmail`	`principal.user.userid`	如果 `access.principalEmail` 記錄檔欄位值不為空，且 `access.principalEmail` 記錄檔欄位值不符合規則運算式 `^.+@.+$`，則 `access.principalEmail` 記錄檔欄位會對應至 `principal.user.userid` UDM 欄位。
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	如果 `message` 記錄檔欄位值符合規則運算式 `contacts.?security`，則 `security_result.about.user.attribute.roles.name` UDM 欄位會設為 `security`。如果 `message` 記錄檔欄位值符合規則運算式 `contacts.?technical`，則 `security_result.about.user.attribute.roles.name` UDM 欄位會設為 `Technical`。
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	如果 `state` 記錄欄位值等於 `ACTIVE`，則 `security_result.alert_state` UDM 欄位會設為 `ALERTING`。否則，`security_result.alert_state` UDM 欄位會設為 `NOT_ALERTING`。
`findingClass, category`	`security_result.catgory_details`	`findingClass - category` 記錄檔欄位會對應至 `security_result.catgory_details` UDM 欄位。
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	如果 `mute` 記錄檔欄位值等於 `MUTED` 或 `UNMUTED`，則 `muteInitiator` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	如果 `mute` 記錄檔欄位值等於 `MUTED` 或 `UNMUTED`，則 `muteUpdateTimer` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	如果 `category` 記錄檔欄位值等於 `Active Scan: Log4j Vulnerable to RCE`、`Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Over-Privileged Grant`、`Exfiltration: CloudSQL Restore Backup to External Organization`、`Initial Access: Log4j Compromise Attempt`、`Malware: Cryptomining Bad Domain`、`Malware: Cryptomining Bad IP` 或 `Persistence: IAM Anomalous Grant`，則 `security_result.detection_fields.key` UDM 欄位會設為 `sourceProperties_contextUris_relatedFindingUri_url`，且 `sourceProperties.contextUris.relatedFindingUri.url` 記錄檔欄位會對應至 `metadata.url_back_to_product` UDM 欄位。
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP`、`Malware: Cryptomining Bad Domain` 或 `Malware: Cryptomining Bad IP`，則 `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` 記錄檔欄位會對應至 `security_result.detection_fields.key` UDM 欄位，而 `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	如果 `category` 記錄檔欄位值等於 `Initial Access: Account Disabled Hijacked`、`Initial Access: Disabled Password Leak`、`Initial Access: Government Based Attack`、`Initial Access: Suspicious Login Blocked`、`Impair Defenses: Strong Authentication Disabled`、`Persistence: SSO Enablement Toggle` 或 `Persistence: SSO Settings Changed`，則 `sourceProperties.contextUris.workspacesUri.displayName` 記錄檔欄位會對應至 `security_result.detection_fields.key` UDM 欄位，而 `sourceProperties.contextUris.workspacesUri.url` 記錄檔欄位會對應至 `security_result.detection_fields.value` UDM 欄位。
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `HIGH`，則 `security_result.priority` UDM 欄位會設為 `HIGH_PRIORITY`。否則，如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `MEDIUM`，則 `security_result.priority` UDM 欄位會設為 `MEDIUM_PRIORITY`。否則，如果 `sourceProperties.detectionPriority` 記錄檔欄位值等於 `LOW`，則 `security_result.priority` UDM 欄位會設為 `LOW_PRIORITY`。
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `database.query` 記錄檔欄位會對應至 `src.process.command_line` UDM 欄位。否則，`database.query` 記錄檔欄位會對應至 `target.process.command_line` UDM 欄位。
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.folders.resourceFolderDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。否則，`resource.folders.resourceFolderDisplayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.folders.resourceFolderDisplay` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.value` UDM 欄位。否則，`resource.gcpMetadata.folders.resourceFolderDisplay` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.folders.resourceFolder` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。否則，`resource.gcpMetadata.folders.resourceFolder` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`resource.organization`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.organization` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。否則，`resource.organization` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.organization` 記錄檔欄位會對應至 `src.resource_ancestors.name` UDM 欄位。否則，`resource.gcpMetadata.organization` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.parentDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.parentDisplayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.parentDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.gcpMetadata.parentDisplayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.parentName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.parentName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.parent` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.gcpMetadata.parent` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.projectDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.projectDisplayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.gcpMetadata.projectDisplayName` 記錄檔欄位會對應至 `src.resource_ancestors.attribute.labels.key/value` UDM 欄位。否則，`resource.gcpMetadata.projectDisplayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.type`	`src.resource_ancestors.resource_subtype`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.type` 記錄檔欄位會對應至 `src.resource_ancestors.resource_subtype` UDM 欄位。
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `database.displayName` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Over-Privileged Grant`，則 `src.resource.attribute.labels.key` UDM 欄位會設為 `grantees`，且 `database.grantees` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.displayName` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。否則，`resource.displayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.display_name` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。否則，`resource.display_name` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.type`	`src.resource_ancestors.resource_subtype`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.type` 記錄檔欄位會對應至 `src.resource_ancestors.resource_subtype` UDM 欄位。
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.displayName` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。否則，`resource.displayName` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `resource.display_name` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。否則，`resource.display_name` 記錄檔欄位會對應至 `target.resource.attribute.labels.value` UDM 欄位。
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration` 或 `Exfiltration: BigQuery Data Extraction`，則 `exfiltration.sources.components` 記錄檔欄位會對應至 `src.resource.attribute.labels.value` UDM 欄位。
`resourceName`	`src.resource.name`	如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive` 或 `Exfiltration: BigQuery Data Exfiltration`，則 `resourceName` 記錄檔欄位會對應至 `src.resource.name` UDM 欄位。
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	如果 `category` 記錄檔欄位值等於 `Defense Evasion: Modify VPC Service Control`、`Exfiltration: BigQuery Data Extraction`、`Exfiltration: BigQuery Data to Google Drive`、`Exfiltration: CloudSQL Data Exfiltration`、`Exfiltration: CloudSQL Restore Backup to External Organization`、`Exfiltration: CloudSQL Over-Privileged Grant`、`Persistence: New Geography` 或 `Persistence: IAM Anomalous Grant`，則 `access.serviceName` 記錄檔欄位會對應至 `target.application` UDM 欄位。
`access.methodName`	`target.labels [access_methodName]` (已淘汰)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (已淘汰)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (已淘汰)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (已淘汰)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (已淘汰)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (已淘汰)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (已淘汰)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (已淘汰)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (已淘汰)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (已淘汰)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (已淘汰)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (已淘汰)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (已淘汰)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (已淘汰)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Persistence: GCE Admin Added SSH Key` 或 `Persistence: GCE Admin Added Startup Script`，則 `sourceProperties.properties.projectId` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `sourceProperties.properties.zone` 記錄檔欄位會對應至 `target.resource.attribute.cloud.availability_zone` UDM 欄位。
`canonicalName`	`metadata.product_log_id`	系統會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`。如果 `finding_id` 記錄檔欄位值不是空白，則 `finding_id` 記錄檔欄位會對應至 `metadata.product_log_id` UDM 欄位。
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	如果 `finding_id` 記錄檔欄位值不為空，則 `finding_id` 記錄檔欄位會對應至 `src.resource.attribute.labels.key/value [finding_id]` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `finding_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `src.resource.product_object_id` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `src.resource.attribute.labels.key/value [source_id]` UDM 欄位。如果 `category` 記錄檔欄位值等於下列其中一個值，系統就會使用 Grok 模式從 `canonicalName` 記錄檔欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	如果 `finding_id` 記錄檔欄位值不為空，則 `finding_id` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value [finding_id]` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `finding_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `target.resource.product_object_id` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	如果 `source_id` 記錄檔欄位值不為空，則 `source_id` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value [source_id]` UDM 欄位。如果 `category` 記錄欄位值不等於下列任一值，系統會使用 Grok 模式從 `canonicalName` 記錄欄位擷取 `source_id`： `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	如果 `category` 記錄檔欄位值等於 `Exfiltration: CloudSQL Data Exfiltration` 或 `Exfiltration: BigQuery Data Extraction`，則 `exfiltration.targets.components` 記錄檔欄位會對應至 `target.resource.attribute.labels.key/value` UDM 欄位。
`resourceName exfiltration.targets.name`	`target.resource.name`	如果 `category` 記錄檔欄位值等於 `Brute Force: SSH`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Malware: Bad Domain`、`Malware: Bad IP` 或 `Malware: Cryptomining Bad IP`，則 `resourceName` 記錄檔欄位會對應至 `target.resource_ancestors.name` UDM 欄位，且 `target.resource.resource_type` UDM 欄位會設為 `VIRTUAL_MACHINE`。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Extraction` 或 `Exfiltration: BigQuery Data to Google Drive`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，如果 `category` 記錄檔欄位值等於 `Exfiltration: BigQuery Data Exfiltration`，則 `exfiltration.target.name` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。否則，`resourceName` 記錄檔欄位會對應至 `target.resource.name` UDM 欄位。
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	如果 `sourceProperties.Header_Signature.name` 記錄檔欄位值等於 `RegionCode`，則 `sourceProperties.Header_Signature.significantValues.value` 記錄檔欄位會對應至 `principal.location.country_or_region` UDM 欄位。
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	如果 `sourceProperties.Header_Signature.name` 記錄檔欄位值等於 `RemoteHost`，則 `sourceProperties.Header_Signature.significantValues.value` 記錄檔欄位會對應至 `principal.ip` UDM 欄位。
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	如果 `sourceProperties.Header_Signature.name` 記錄檔欄位值等於 `UserAgent`，則 `sourceProperties.Header_Signature.significantValues.value` 記錄檔欄位會對應至 `network.http.user_agent` UDM 欄位。
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	如果 `sourceProperties.Header_Signature.name` 記錄檔欄位值等於 `RequestUriPath`，則 `sourceProperties.Header_Signature.significantValues.value` 記錄檔欄位會對應至 `principal.url` UDM 欄位。
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.compromised_account` 記錄檔欄位會對應至 `principal.user.userid` UDM 欄位，且 `principal.user.account_type` UDM 欄位會設為 `SERVICE_ACCOUNT_TYPE`。
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.project_identifier` 記錄檔欄位會對應至 `principal.resource.product_object_id` UDM 欄位。
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.private_key_identifier` 記錄檔欄位會對應至 `principal.user.attribute.labels.value` UDM 欄位。
`sourceProperties.action_taken`	`principal.labels [action_taken]` (已淘汰)	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.action_taken` 記錄檔欄位會對應至 `principal.labels.value` UDM 欄位。
`sourceProperties.action_taken`	`additional.fields [action_taken]`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.action_taken` 記錄檔欄位會對應至 `additional.fields.value` UDM 欄位。
`sourceProperties.finding_type`	`principal.labels [finding_type]` (已淘汰)	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.finding_type` 記錄檔欄位會對應至 `principal.labels.value` UDM 欄位。
`sourceProperties.finding_type`	`additional.fields [finding_type]`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.finding_type` 記錄檔欄位會對應至 `additional.fields.value` UDM 欄位。
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.url` 記錄檔欄位會對應至 `principal.user.attribute.labels.value` UDM 欄位。
`sourceProperties.security_result.summary`	`security_result.summary`	如果 `category` 記錄檔欄位值等於 `account_has_leaked_credentials`，則 `sourceProperties.security_result.summary` 記錄檔欄位會對應至 `security_result.summary` UDM 欄位。
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

後續步驟

將資料擷取至 Google Security Operations

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。