REST Resource: organizations.sources.locations.findings

资源:Finding

Security Command Center 发现结果。

发现结果是指被提取到 Security Command Center 以进行展示、通知、分析、政策测试和实施的评估数据(如安全、风险、运行状况或隐私)记录。例如,App Engine 应用中的跨站脚本攻击 (XSS) 漏洞是一个发现结果。

JSON 表示法 
{
  "name": string,
  "canonicalName": string,
  "parent": string,
  "resourceName": string,
  "state": enum (State),
  "category": string,
  "externalUri": string,
  "sourceProperties": {
    string: value,
    ...
  },
  "securityMarks": {
    object (SecurityMarks)
  },
  "eventTime": string,
  "createTime": string,
  "severity": enum (Severity),
  "mute": enum (Mute),
  "muteInfo": {
    object (MuteInfo)
  },
  "findingClass": enum (FindingClass),
  "indicator": {
    object (Indicator)
  },
  "vulnerability": {
    object (Vulnerability)
  },
  "muteUpdateTime": string,
  "externalSystems": {
    string: {
      object (ExternalSystem)
    },
    ...
  },
  "mitreAttack": {
    object (MitreAttack)
  },
  "access": {
    object (Access)
  },
  "connections": [
    {
      object (Connection)
    }
  ],
  "muteInitiator": string,
  "processes": [
    {
      object (Process)
    }
  ],
  "contacts": {
    string: {
      object (ContactDetails)
    },
    ...
  },
  "compliances": [
    {
      object (Compliance)
    }
  ],
  "parentDisplayName": string,
  "description": string,
  "exfiltration": {
    object (Exfiltration)
  },
  "iamBindings": [
    {
      object (IamBinding)
    }
  ],
  "nextSteps": string,
  "moduleName": string,
  "containers": [
    {
      object (Container)
    }
  ],
  "kubernetes": {
    object (Kubernetes)
  },
  "database": {
    object (Database)
  },
  "attackExposure": {
    object (AttackExposure)
  },
  "files": [
    {
      object (File)
    }
  ],
  "cloudDlpInspection": {
    object (CloudDlpInspection)
  },
  "cloudDlpDataProfile": {
    object (CloudDlpDataProfile)
  },
  "kernelRootkit": {
    object (KernelRootkit)
  },
  "orgPolicies": [
    {
      object (OrgPolicy)
    }
  ],
  "job": {
    object (Job)
  },
  "application": {
    object (Application)
  },
  "ipRules": {
    object (IpRules)
  },
  "backupDisasterRecovery": {
    object (BackupDisasterRecovery)
  },
  "securityPosture": {
    object (SecurityPosture)
  },
  "logEntries": [
    {
      object (LogEntry)
    }
  ],
  "loadBalancers": [
    {
      object (LoadBalancer)
    }
  ],
  "cloudArmor": {
    object (CloudArmor)
  },
  "notebook": {
    object (Notebook)
  },
  "toxicCombination": {
    object (ToxicCombination)
  },
  "groupMemberships": [
    {
      object (GroupMembership)
    }
  ],
  "disk": {
    object (Disk)
  },
  "dataAccessEvents": [
    {
      object (DataAccessEvent)
    }
  ],
  "dataFlowEvents": [
    {
      object (DataFlowEvent)
    }
  ],
  "networks": [
    {
      object (Network)
    }
  ],
  "dataRetentionDeletionEvents": [
    {
      object (DataRetentionDeletionEvent)
    }
  ],
  "chokepoint": {
    object (Chokepoint)
  }
}
字段
name

string

相应发现的相对资源名称。以下列表显示了一些示例:

+ organizations/{organization_id}/sources/{source_id}/findings/{findingId} + organizations/{organization_id}/sources/{source_id}/locations/{locationId}/findings/{findingId} + folders/{folder_id}/sources/{source_id}/findings/{findingId} + folders/{folder_id}/sources/{source_id}/locations/{locationId}/findings/{findingId} + projects/{projectId}/sources/{source_id}/findings/{findingId} + projects/{projectId}/sources/{source_id}/locations/{locationId}/findings/{findingId}
canonicalName

string

仅限输出。发现结果的规范名称。以下列表显示了一些示例:

+ organizations/{organization_id}/sources/{source_id}/findings/{findingId} + organizations/{organization_id}/sources/{source_id}/locations/{locationId}/findings/{findingId} + folders/{folder_id}/sources/{source_id}/findings/{findingId} + folders/{folder_id}/sources/{source_id}/locations/{locationId}/findings/{findingId} + projects/{projectId}/sources/{source_id}/findings/{findingId} + projects/{projectId}/sources/{source_id}/locations/{locationId}/findings/{findingId}

前缀是与发现结果关联的资源的最近 CRM 祖先。
parent

string

相应发现所属的来源和位置的相对资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#relative_resource_name 此字段在创建后将不可变。以下列表显示了一些示例:

  • organizations/{organization_id}/sources/{source_id}
  • folders/{folders_id}/sources/{source_id}
  • projects/{projects_id}/sources/{source_id} + organizations/{organization_id}/sources/{source_id}/locations/{locationId}
  • folders/{folders_id}/sources/{source_id}/locations/{locationId}
  • projects/{projects_id}/sources/{source_id}/locations/{locationId}
resourceName

string

不可变。对于 Google Cloud 资源的发现结果,此发现结果所针对的 Google Cloud 资源的完整资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#full_resource_name。如果发现问题涉及非 Google Cloud 资源,resourceName 可以是客户或合作伙伴定义的字符串。
state

enum (State)

仅限输出。发现结果的状态。
category

string

不可变。来自给定来源的发现结果中的其他分类群组。示例:“XSS_FLASH_INJECTION”
externalUri

string

URI(如果有)指向 Security Command Center 之外的网页,您可以在该网页上找到有关发现结果的更多信息。此字段保证为空或格式正确的网址。
sourceProperties

map (key: string, value: value (Value format))

特定于来源的媒体资源。这些属性由写入发现结果的来源管理。sourceProperties 映射中的键名称必须介于 1 到 255 个字符之间,并且必须以字母开头,并且只能包含字母数字字符或下划线。

包含一系列 "key": value 对的对象。示例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }
securityMarks

object (SecurityMarks)

仅限输出。用户指定的安全标记。这些标记完全由用户管理,来自于相应发现结果所属的 SecurityMarks 资源。
eventTime

string (Timestamp format)

首次检测到发现结果的时间。如果现有发现结果已更新,则此项表示更新的时间。例如,如果发现结果表明防火墙处于打开状态,则此属性会捕获检测器认为防火墙处于打开状态的时间。准确性由检测器决定。如果发现结果在之后得以解决,那么该时间会反映解决发现结果的时间。此值不得设置为大于当前时间戳的值。

采用 RFC 3339 标准,生成的输出将始终在末尾带 Z,并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z""2014-10-02T15:01:23+05:30"
createTime

string (Timestamp format)

仅限输出。发现结果在 Security Command Center 中的创建时间。

采用 RFC 3339 标准,生成的输出将始终在末尾带 Z,并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z""2014-10-02T15:01:23+05:30"
severity

enum (Severity)

发现结果的严重程度。此字段由写入发现信息的来源管理。
mute

enum (Mute)

表示发现结果的忽略状态(已忽略、取消忽略或未定义)。与发现的其他属性不同,发现提供程序不应设置“静音”的值。
muteInfo

object (MuteInfo)

仅限输出。与此发现结果有关的忽略信息。
findingClass

enum (FindingClass)

发现结果的类。
indicator

object (Indicator)

表示计算机取证中通常称为“失陷指标”(IoC) 的概念。这是在网络或操作系统中观察到的工件,可高度确信地表明存在计算机入侵。如需了解详情,请参阅入侵指标
vulnerability

object (Vulnerability)

表示特定于漏洞的字段,例如 CVE 和 CVSS 得分。CVE 是“常见漏洞和披露”的缩写 (https://cve.mitre.org/about/)
muteUpdateTime

string (Timestamp format)

仅限输出。上次忽略或取消忽略此发现结果的时间。

采用 RFC 3339 标准,生成的输出将始终在末尾带 Z,并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z""2014-10-02T15:01:23+05:30"
externalSystems

map (key: string, value: object (ExternalSystem))

仅限输出。SCC 中的第三方 SIEM/SOAR 字段,包含外部系统信息和外部系统发现字段。

包含一系列 "key": value 对的对象。示例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }
mitreAttack

object (MitreAttack)

与此发现结果相关的 MITRE ATT&CK 策略和技术。请参阅:https://attack.mitre.org
access

object (Access)

访问与发现结果相关的详细信息,例如有关调用方、访问了哪种方法以及从何处访问的更多信息。
connections[]

object (Connection)

包含与发现结果关联的 IP 连接的相关信息。
muteInitiator

string

记录与静音操作相关的其他信息,例如静音了相应发现的静音配置以及静音了相应发现的用户。
processes[]

object (Process)

表示与发现结果关联的操作系统进程。
contacts

map (key: string, value: object (ContactDetails))

仅限输出。包含指定发现结果的联系信息的地图。键表示联系人类型,而值包含相关的所有联系人的列表。请参阅:https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories

{
  "security": {
    "contacts": [
      {
        "email": "person1@company.com"
      },
      {
        "email": "person2@company.com"
      }
    ]
  }
}

包含一系列 "key": value 对的对象。示例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }
compliances[]

object (Compliance)

包含与发现结果相关联的安全标准的合规性信息。
parentDisplayName

string

仅限输出。发现来源的易于理解的显示名称,例如“事件威胁检测”或“安全性分析”。
description

string

包含有关发现结果的更多详细信息。
exfiltration

object (Exfiltration)

表示与发现结果关联的外泄。
iamBindings[]

object (IamBinding)

表示与发现结果关联的 IAM 绑定。
nextSteps

string

解决相应问题的步骤。
moduleName

string

生成发现结果的模块的唯一标识符。示例:folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885
containers[]

object (Container)

与该发现结果关联的容器。此字段提供 Kubernetes 容器和非 Kubernetes 容器的信息。
kubernetes

object (Kubernetes)

与发现结果关联的 Kubernetes 资源。
database

object (Database)

与发现结果关联的数据库。
attackExposure

object (AttackExposure)

与此发现结果相关的攻击路径模拟结果。
files[]

object (File)

与发现结果关联的文件。
cloudDlpInspection

object (CloudDlpInspection)

与发现结果关联的 Cloud Data Loss Prevention (Cloud DLP) 检查结果。
cloudDlpDataProfile

object (CloudDlpDataProfile)

与发现结果关联的 Cloud DLP 数据剖析文件。
kernelRootkit

object (KernelRootkit)

内核 rootkit 的签名。
orgPolicies[]

object (OrgPolicy)

包含与发现结果关联的组织政策的相关信息。
job

object (Job)

与发现结果关联的作业。
application

object (Application)

表示与发现关联的应用。
ipRules

object (IpRules)

与发现结果关联的 IP 规则。
backupDisasterRecovery

object (BackupDisasterRecovery)

与备份和灾难恢复问题相关的字段。
securityPosture

object (SecurityPosture)

与发现结果关联的安全状况。
logEntries[]

object (LogEntry)

与发现结果相关的日志条目。
loadBalancers[]

object (LoadBalancer)

与发现结果关联的负载平衡器。
cloudArmor

object (CloudArmor)

与 Cloud Armor 发现结果相关的字段。
notebook

object (Notebook)

与发现结果关联的笔记本。
toxicCombination

object (ToxicCombination)

包含一组安全问题的详细信息。如果这些问题同时出现,所构成的风险要高于这些问题单独出现的风险。一组此类问题称为有害组合。此字段无法更新。所有更新请求都会忽略其值。
groupMemberships[]

object (GroupMembership)

包含此发现所属群组的详细信息。组是指一组在某种程度上相关的发现。此字段无法更新。所有更新请求都会忽略其值。
disk

object (Disk)

与发现结果关联的磁盘。
dataAccessEvents[]

object (DataAccessEvent)

与发现关联的数据访问事件。
dataFlowEvents[]

object (DataFlowEvent)

与相应发现关联的数据流事件。
networks[]

object (Network)

表示资源所附加的 VPC 网络。
dataRetentionDeletionEvents[]

object (DataRetentionDeletionEvent)

与相应发现相关联的数据保留删除事件。
chokepoint

object (Chokepoint)

包含有关瓶颈的详细信息。瓶颈是指高风险攻击路径汇聚的资源或资源组,基于攻击路径模拟得出。此字段无法更新。所有更新请求都会忽略其值。

方法

create

 在某个位置创建发现结果。

group

 过滤组织或来源的发现结果,并按其在某个位置的指定属性进行分组。

list

 列出组织或来源的发现结果。

patch

 创建或更新发现结果。

setMute

 更新发现结果的忽略状态。

setState

 更新发现结果的状态。

updateSecurityMarks

 更新安全标记。