Security Command Center 발견 항목 수집

이 문서에서는 Security Command Center를 구성하고 발견 항목을 Google Security Operations로 수집하여 Security Command Center 로그를 수집하는 방법을 설명합니다. 또한 이 문서에는 지원되는 이벤트가 나와 있습니다.

자세한 내용은 Google Security Operations에 데이터 수집Google Security Operations로 Security Command Center 발견 항목 내보내기를 참조하세요. 일반적인 배포는 Security Command Center와 Google Security Operations에 로그를 전송하도록 구성된 Google Security Operations 피드로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

  • Google Cloud: Security Command Center가 설치된 모니터링할 시스템입니다.

  • Security Command Center Event Threat Detection 발견 항목: 데이터 소스에서 정보를 수집하고 발견 항목을 생성합니다.

  • Google Security Operations: Security Command Center의 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 다음 수집 라벨이 있는 Security Command Center 파서에 적용됩니다.

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

발견 항목을 Google Security Operations로 전송하도록 Security Command Center 및 Google Cloud 구성

지원되는 Event Threat Detection 발견 항목

이 섹션에는 지원되는 Event Threat Detection 발견 항목이 나와 있습니다. Security Command Center Event Threat Detection 규칙 및 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙을 참조하세요.

발견 항목 이름 설명
활성 스캔: RCE에 취약한 Log4j 지원되는 Log4j 취약점 스캐너에서 시작한 난독화되지 않은 도메인의 DNS 쿼리를 식별하여 활성 Log4j 취약점을 감지합니다.
무작위 공격: SSH 호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.
사용자 인증 정보 액세스: 권한 있는 그룹에 추가된 외부 구성원 외부 구성원이 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)에 추가될 때 이를 감지합니다. 새로 추가된 구성원과 동일한 조직의 외부 구성원이 그룹에 아직 추가되지 않은 경우에만 발견 항목이 생성됩니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.
사용자 인증 정보 액세스: 공개로 설정된 권한이 있는 그룹 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)이 일반 대중에 액세스 가능하도록 변경되었을 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.
사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할 외부 구성원이 포함된 Google 그룹에 중요한 역할이 부여될 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.
방어 회피: VPC 서비스 제어 수정 경계에서 제공하는 보호 효과를 저해하는 기존 VPC 서비스 제어 경계의 변경사항을 감지합니다.
탐색: 민감한 Kubernetes 객체 확인 가능, 미리보기 악의적인 행위자가 kubectl auth can-i get 명령어를 사용하여 쿼리할 수 있는 Google Kubernetes Engine(GKE)의 민감한 객체를 확인하려고 시도했습니다.
탐색: 서비스 계정 자체 조사 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되는 Identity and Access Management(IAM) 서비스 계정 사용자 인증 정보 감지.
삭제: 익명처리 프록시에서 액세스 Tor IP 주소와 같은 익명 프록시 IP 주소에서 시작된 Google Cloud 서비스 수정 감지.
유출: BigQuery 데이터 무단 반출 다음 시나리오를 감지합니다.
  • 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스.
  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 시도.
유출: BigQuery 데이터 추출 다음 시나리오를 감지합니다.
  • 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직 외부의 Cloud Storage 버킷에 저장됩니다.
  • 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직에서 소유한 공개적으로 액세스 가능한 Cloud Storage 버킷에 저장됩니다.
유출: Google 드라이브에 대한 BigQuery 데이터 다음 시나리오를 감지합니다.

보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 Google Drive 폴더에 저장됩니다.

유출: Cloud SQL 데이터 무단 반출 다음 시나리오를 감지합니다.
  • 조직 외부의 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터.
  • 조직에서 소유하고 공개적으로 액세스할 수 있는 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터.
유출: 외부 조직으로 Cloud SQL 복원 백업 Cloud SQL 인스턴스 백업이 조직 외부의 인스턴스로 복원될 때 이를 감지합니다.
유출: Cloud SQL 초과 권한 부여 Cloud SQL Postgres 사용자 또는 역할에 데이터베이스 또는 스키마의 모든 테이블, 절차, 함수에 대한 모든 권한이 부여된 시점을 감지합니다.
방어력 손상: 강력한 인증이 사용 중지됨 조직의 2단계 인증이 사용 중지되었습니다.
방어력 손상: 2단계 인증이 사용 중지됨 사용자가 2단계 인증을 사용 중지했습니다.
초기 액세스: 계정 사용 중지됨 계정 도용 의심스러운 활동으로 인해 사용자의 계정이 정지되었습니다.
초기 액세스: 사용 중지됨 비밀번호 유출 비밀번호 유출이 감지되어 사용자의 계정이 사용 중지되었습니다.
초기 액세스: 정부 기반 공격 정부 지원 해킹 공격자가 사용자 계정이나 컴퓨터를 도용하려고 했을 수 있습니다.
초기 액세스: Log4j 손상 시도 헤더나 URL 매개변수 내에서 Java 이름 지정과 디렉터리 인터페이스(JNDI) 조회를 감지합니다. 이러한 조회는 Log4Shell 악용 시도를 나타낼 수 있습니다. 이러한 발견 항목은 취약점이나 손상이 아닌 감지나 악용 시도만 나타내므로 심각도가 낮습니다.
초기 액세스: 의심스러운 로그인이 차단됨 사용자의 계정에 대한 의심스러운 로그인이 감지되어 차단되었습니다.
Log4j 멀웨어: 잘못된 도메인 Log4j 공격에 사용되는 알려진 도메인에 대한 연결이나 조회를 기반으로 Log4j 악용 트래픽을 감지합니다.
Log4j 멀웨어: 잘못된 IP Log4j 공격에 사용되는 알려진 IP 주소에 대한 연결을 기반으로 Log4j 악용 트래픽을 감지합니다.
멀웨어: 불량 도메인 알려진 불량 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다.
멀웨어: 불량 IP 알려진 불량 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다.
멀웨어: 암호화폐 채굴 불량 도메인 알려진 암호화폐 채굴 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다.
멀웨어: 암호화폐 채굴 불량 IP 알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다.
발신 DoS 발신 서비스 거부 트래픽을 감지합니다.
지속성: Compute Engine 관리자가 SSH 키를 추가함 설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 SSH 키 값에 대한 수정 사항 감지.
지속성: Compute Engine 관리자가 시작 스크립트를 추가함 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항 감지.
지속성: IAM 비정상적인 권한 부여 IAM 사용자 및 조직 구성원이 아닌 서비스 계정에 부여되는 권한을 감지합니다. 이 감지기는 조직의 기존 IAM 정책을 컨텍스트로 사용합니다. 외부 구성원에게 민감한 IAM을 부여하고 유사한 기존 IAM 정책이 3개 미만 있으면 이 감지기는 발견 항목을 생성합니다.
지속성: 새 API 메서드, 미리보기 IAM 서비스 계정을 통한 Google Cloud 서비스 비정상적인 사용 감지.
지속성: 새로운 지역 요청 IP 주소의 위치정보를 토대로 비정상적인 위치에서 Google Cloud에 액세스하는 IAM 사용자 및 서비스 계정 감지.
지속성: 새로운 사용자 에이전트 비정상적이거나 의심스러운 사용자 에이전트에서 Google Cloud에 액세스하는 IAM 서비스 계정 감지.
지속성: SSO 사용 설정 전환 관리자 계정의 SSO(싱글 사인온) 사용 설정이 사용 중지되었습니다.
지속성: SSO 설정이 변경됨 관리자 계정의 SSO 설정이 변경되었습니다.
권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경사항, 미리보기 악의적인 행위자가 권한 에스컬레이션을 위해 PUT 또는 PATCH 요청을 사용하여 cluster-admin ClusterRole 및 ClusterRoleBinding 객체를 수정하려고 했습니다.
권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기, 미리보기 악의적인 행위자가 Kubernetes 마스터 인증서 서명 요청(CSR)을 만들어 클러스터 관리자 액세스 권한을 부여했습니다.
권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기, 미리보기 악의적인 행위자가 권한을 에스컬레이션하기 위해 새 cluster-admin RoleBinding 또는 ClusterRoleBinding 객체를 만들려고 했습니다.
권한 에스컬레이션: 손상된 부트스트랩 사용자 인증 정보로 Kubernetes CSR 가져오기, 미리보기 악의적인 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 kubectl 명령어로 인증서 서명 요청(CSR)을 쿼리했습니다.
권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행, 미리보기 악의적인 행위자가 권한이 있는 컨테이너 또는 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었습니다.

권한이 있는 컨테이너에서 권한이 있는 필드가 true로 설정되어 있습니다. 권한 에스컬레이션 기능이 있는 컨테이너에서 allowPrivilegeEscalation 필드가 true로 설정되어 있습니다.

초기 액세스: 휴면 서비스 계정 키 생성됨 휴면 사용자 관리형 서비스 계정의 키가 생성된 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다.
프로세스 트리 감지기는 실행 중인 모든 프로세스의 프로세스 트리를 확인합니다. 프로세스가 셸 바이너리인 경우, 감지기가 상위 프로세스를 확인합니다. 상위 프로세스가 셸 프로세스를 생성하면 안 되는 바이너리인 경우 감지기에서 발견 항목을 트리거합니다.
예기치 않은 하위 셸 감지기는 실행 중인 모든 프로세스의 프로세스 트리를 확인합니다. 프로세스가 셸 바이너리인 경우, 감지기가 상위 프로세스를 확인합니다. 상위 프로세스가 셸 프로세스를 생성하면 안 되는 바이너리인 경우 감지기에서 발견 항목을 트리거합니다.
실행: 추가된 악성 바이너리 실행됨 감지기는 원본 컨테이너 이미지에 포함되지 않았고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다.
실행: 수정된 악성 바이너리 실행됨 감지기는 컨테이너 이미지에 원래 포함되었지만 런타임 중에 수정되었고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 다단계 서비스 계정 위임 관리 활동에 비정상적인 다단계 위임된 요청이 발견되면 감지합니다.
사용된 breakglass 계정: break_glass_account 긴급 액세스(breakglass) 계정 사용량을 감지합니다.
구성 가능한 잘못된 도메인: APT29_Domains 지정된 도메인 이름에 대한 연결을 감지합니다.
예상치 못한 역할 부여: 금지된 역할 지정된 역할이 사용자에게 할당되는 경우를 감지합니다.
구성 가능한 잘못된 IP 지정된 IP 주소에 대한 연결을 감지합니다.
예상치 못한 Compute Engine 인스턴스 유형 지정된 인스턴스 유형 또는 구성과 일치하지 않는 Compute Engine 인스턴스 생성을 감지합니다.
예상치 못한 Compute Engine 소스 이미지 지정된 목록과 일치하지 않는 이미지 또는 이미지 계열이 있는 Compute Engine 인스턴스의 생성을 감지합니다.
예상치 못한 Compute Engine 리전 지정된 목록에 없는 리전에서 Compute Engine 인스턴스 생성을 감지합니다.
금지된 권한이 있는 커스텀 역할 지정된 IAM 권한이 있는 커스텀 역할이 주 구성원에게 부여되었는지 감지합니다.
예상치 못한 Cloud API 호출 지정된 주 구성원이 지정된 리소스에 대해 지정된 메서드를 호출할 때 이를 감지합니다. 발견 항목은 단일 로그 항목에서 모든 정규 표현식이 일치할 때만 생성됩니다.

지원되는 GCP_SECURITYCENTER_ERROR 발견 항목

필드 매핑 참조: ERROR 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
VPC_SC_RESTRICTION Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다.
MISCONFIGURED_CLOUD_LOGGING_EXPORT Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center가 Logging에 발견 항목을 전송할 수 없습니다.
API_DISABLED 프로젝트에 필수 API가 중지되었습니다. 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다.
KTD_IMAGE_PULL_FAILURE Container Registry 이미지 호스트인 gcr.io에서 필요한 컨테이너 이미지를 가져오거나 다운로드할 수 없으므로 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 이 이미지는 Container Threat Detection에 필요한 Container Threat Detection DaemonSet를 배포하는 데 필요합니다.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러가 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체 배포를 차단합니다.

Google Cloud 콘솔에서 발견 항목 세부정보에 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다.

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection이 감지 계측을 사용 설정, 업그레이드 또는 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다.

지원되는 GCP_SECURITYCENTER_OBSERVATION 발견 항목

필드 매핑 참조: OBSERVATION 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
지속성: 프로젝트 SSH 키 추가 10일을 초과하는 프로젝트에 대해 프로젝트 수준의 SSH 키가 프로젝트에 생성되었습니다.
지속성: 민감한 역할 추가 10일을 초과하는 민감한 또는 권한이 높은 조직 수준의 IAM 역할이 조직에서 부여되었습니다.

지원되는 GCP_SECURITYCENTER_UNSPECIFIED 발견 항목

필드 매핑 참조: UNSPECIFIED 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
OPEN_FIREWALL 방화벽은 공개 액세스가 가능하도록 구성되어 있습니다.

지원되는 GCP_SECURITYCENTER_VULNERABILITY 발견 항목

필드 매핑 참조: VULNERABILITY 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
DISK_CSEK_DISABLED 이 VM의 디스크는 고객 제공 암호화 키(CSEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 특수 사례 감지기를 참조하세요.
ALPHA_CLUSTER_ENABLED 알파 클러스터 기능이 GKE 클러스터에 대해 사용 설정됩니다.
AUTO_REPAIR_DISABLED 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 중지되어 있습니다.
AUTO_UPGRADE_DISABLED 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 중지되어 있습니다.
CLUSTER_SHIELDED_NODES_DISABLED 보안 GKE 노드가 클러스터에 대해 사용 설정되지 않습니다.
COS_NOT_USED Compute Engine VM이 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용하지 않습니다.
INTEGRITY_MONITORING_DISABLED 무결성 모니터링이 GKE 클러스터에 대해 중지되었습니다.
IP_ALIAS_DISABLED 별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다.
LEGACY_METADATA_ENABLED 기존 메타데이터가 GKE 클러스터에서 사용 설정됩니다.
RELEASE_CHANNEL_DISABLED GKE 클러스터가 출시 채널에 구독되지 않습니다.
DATAPROC_IMAGE_OUTDATED Dataproc 클러스터가 Apache Log4j 2 유틸리티의 보안 취약점(CVE-2021-44228CVE-2021-45046)의 영향을 받는 Dataproc 이미지 버전을 사용하여 생성되었습니다.
PUBLIC_DATASET 데이터 세트는 공개 액세스가 가능하도록 구성되어 있습니다.
DNSSEC_DISABLED Cloud DNS 영역에서 DNSSEC가 사용 중지됩니다.
RSASHA1_FOR_SIGNING RSASHA1은 Cloud DNS 영역의 키 서명에 사용됩니다.
REDIS_ROLE_USED_ON_ORG Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다.
KMS_PUBLIC_KEY Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다.
SQL_CONTAINED_DATABASE_AUTHENTICATION SQL Server용 Cloud SQL 인스턴스의 contained database authentication 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_CROSS_DB_OWNERSHIP_CHAINING SQL Server용 Cloud SQL 인스턴스의 cross_db_ownership_chaining 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_EXTERNAL_SCRIPTS_ENABLED SQL Server용 Cloud SQL 인스턴스의 external scripts enabled 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOCAL_INFILE MySQL용 Cloud SQL 인스턴스의 local_infile 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_ERROR_VERBOSITY PostgreSQL용 Cloud SQL 인스턴스의 log_error_verbosity 데이터베이스 플래그가 default 또는 더 엄격한 값으로 설정되지 않았습니다.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_min_duration_statement 데이터베이스 플래그가 '-1'로 설정되지 않았습니다.
SQL_LOG_MIN_ERROR_STATEMENT PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그가 적절하게 설정되지 않았습니다.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그에 대한 심각도 수준이 적절하지 않습니다.
SQL_LOG_MIN_MESSAGES PostgreSQL용 Cloud SQL 인스턴스의 log_min_messages 데이터베이스 플래그가 warning으로 설정되지 않았습니다.
SQL_LOG_EXECUTOR_STATS_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_executor_status 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_HOSTNAME_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_hostname 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_PARSER_STATS_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_parser_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_PLANNER_STATS_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_planner_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_STATEMENT_STATS_ENABLED PostgreSQL용 Cloud SQL 인스턴스의 log_statement_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_TEMP_FILES PostgreSQL용 Cloud SQL 인스턴스의 log_temp_files 데이터베이스 플래그가 '0'으로 설정되지 않았습니다.
SQL_REMOTE_ACCESS_ENABLED SQL Server용 Cloud SQL 인스턴스의 remote access 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_SKIP_SHOW_DATABASE_DISABLED MySQL용 Cloud SQL 인스턴스의skip_show_database 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_TRACE_FLAG_3625 SQL Server용 Cloud SQL 인스턴스의 3625(trace 플래그) 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_USER_CONNECTIONS_CONFIGURED SQL Server용 Cloud SQL 인스턴스의 user connections 데이터베이스 플래그가 구성되었습니다.
SQL_USER_OPTIONS_CONFIGURED SQL Server용 Cloud SQL 인스턴스의 user options 데이터베이스 플래그가 구성되었습니다.
SQL_WEAK_ROOT_PASSWORD Cloud SQL 데이터베이스에 루트 계정에 대해 취약한 비밀번호가 구성되어 있습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
PUBLIC_LOG_BUCKET 로그 싱크로 사용되는 스토리지 버킷에 공개적으로 액세스할 수 있습니다.
ACCESSIBLE_GIT_REPOSITORY GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.
ACCESSIBLE_SVN_REPOSITORY SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.
CACHEABLE_PASSWORD_INPUT 웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다.
CLEAR_TEXT_PASSWORD 비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION 교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 서픽스만 검사합니다. 이 발견 항목을 해결하려면 Access-Control-Allow-Origin 응답 헤더에 반영되기 전에 예상 루트 도메인이 'Origin' 헤더 값에 속하는지 검증하세요. 하위 도메인 와일드 카드의 경우 루트 도메인 앞에 마침표를 추가합니다(예: .endsWith("".google.com"")).
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION 교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 프리픽스만 검증합니다. 이 발견 항목을 해결하려면 예상 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영하기 전의 Origin 헤더 값과 완전히 일치하는지 검증하세요(예: .equals("".google.com"")).
INVALID_CONTENT_TYPE 리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 X-Content-Type-Options HTTP 헤더를 올바른 값으로 설정합니다.
INVALID_HEADER 보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
MISMATCHING_SECURITY_HEADER_VALUES 보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
MISSPELLED_SECURITY_HEADER_NAME 보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
MIXED_CONTENT 리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다.
OUTDATED_LIBRARY 알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다.
SERVER_SIDE_REQUEST_FORGERY 서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다.
SESSION_ID_LEAK 교차 도메인 요청을 수행할 때 웹 애플리케이션은 Referer 요청 헤더에 사용자의 세션 식별자를 포함합니다. 이 취약점은 수신 도메인에 세션 식별자에 대한 액세스 권한을 부여하므로 사용자를 가장하거나 고유하게 식별하는 데 사용될 수 있습니다.
SQL_INJECTION 잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 매개변수화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다.
STRUTS_INSECURE_DESERIALIZATION 취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다.
XSS 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
XSS_ANGULAR_CALLBACK 사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
XSS_ERROR 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
XXE_REFLECTED_FILE_LEAKAGE XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요.
BASIC_AUTHENTICATION_ENABLED Kubernetes 클러스터에서 IAM 또는 클라이언트 인증서 인증을 사용 설정해야 합니다.
CLIENT_CERT_AUTHENTICATION_DISABLED 클라이언트 인증서를 사용 설정해 Kubernetes 클러스터를 만들어야 합니다.
LABELS_NOT_USED 라벨을 사용하면 결제 정보를 분석할 수 있습니다.
PUBLIC_STORAGE_OBJECT 스토리지 객체 ACL이 allUsers에 대한 액세스 권한을 부여하면 안 됩니다.
SQL_BROAD_ROOT_LOGIN SQL 데이터베이스에 대한 루트 액세스 권한은 허용 목록의 신뢰할 수 있는 IP로 제한해야 합니다.
WEAK_CREDENTIALS 이 감지기는 ncrack 무작위 공격 방법을 사용하여 취약한 사용자 인증 정보를 점검합니다.

지원되는 서비스: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

ELASTICSEARCH_API_EXPOSED Elasticsearch API를 사용하면 호출자가 임의의 쿼리를 수행하고 스크립트를 작성 및 실행하고 서비스에 문서를 추가할 수 있습니다.
EXPOSED_GRAFANA_ENDPOINT Grafana 8.0.0~8.3.0에서는 디렉터리 순회 취약점이 있는 엔드포인트에 사용자가 인증 없이 액세스할 수 있어 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있습니다. 자세한 내용은 CVE-2021-43798을 참조하세요.
EXPOSED_METABASE 오픈소스 데이터 분석 플랫폼인 Metabase의 x.40.0~x.40.4 버전에는 커스텀 GeoJSON 맵 지원과 환경 변수를 비롯한 잠재적 로컬 파일 포함에 대한 취약점이 있습니다. URL이 로드 전에 검증되지 않았습니다. 자세한 내용은 CVE-2021-41277을 참조하세요.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT 이 감지기는 Spring Boot 애플리케이션의 민감한 액추에이터 엔드포인트가 노출되었는지 여부를 확인합니다. /heapdump와 같은 일부 기본 엔드포인트에서 민감한 정보가 노출될 수 있습니다. /env와 같은 다른 엔드포인트는 원격 코드 실행으로 이어질 수 있습니다. 현재는 /heapdump만 확인됩니다.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API 이 감지기는 Hadoop 클러스터의 계산 및 스토리지 리소스를 제어하는 Hadoop Yarn ResourceManager API가 노출되어 인증되지 않은 코드 실행이 허용되는지 확인합니다.
JAVA_JMX_RMI_EXPOSED Java 관리 확장 프로그램(JMX)을 사용하면 Java 애플리케이션을 원격으로 모니터링하고 진단할 수 있습니다. 보호되지 않는 원격 메서드 호출 엔드포인트로 JMX를 실행하면 모든 원격 사용자가 javax.management.loading.MLet MBean을 만들고 이를 사용하여 임의 URL에서 새로운 MBean을 만들 수 있습니다.
JUPYTER_NOTEBOOK_EXPOSED_UI 이 감지기는 인증되지 않은 Jupyter 노트북이 노출되었는지 여부를 확인합니다. Jupyter는 호스트 머신에서 기본적으로 원격 코드 실행을 허용합니다. 인증되지 않은 Jupyter 노트북으로 인해 VM 호스팅이 원격 코드 실행 위험에 처할 수 있습니다.
KUBERNETES_API_EXPOSED Kubernetes API가 노출되어 인증되지 않은 호출자가 액세스할 수 있습니다. 이렇게 하면 Kubernetes 클러스터에서 임의 코드를 실행할 수 있습니다.
UNFINISHED_WORDPRESS_INSTALLATION 이 감지기는 WordPress 설치가 완료되었는지 여부를 확인합니다. 완료되지 않은 WordPress 설치는 /wp-admin/install.php 페이지를 노출시킵니다. 공격자가 이를 이용해서 관리 암호를 설정하고 시스템을 손상시킬 수 있습니다.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE 이 감지기는 /view/all/newJob 엔드포인트에 익명 방문자로 프로브 핑을 전송하여 인증되지 않은 Jenkins 인스턴스를 확인합니다. 인증된 Jenkins 인스턴스는 createItem 형식을 보여줍니다. 이 형식을 사용하면 원격 코드 실행으로 이어질 수 있는 임의 작업을 만들 수 있습니다.
APACHE_HTTPD_RCE 공격자가 경로 순회 공격을 사용하여 예상 문서 루트 외부에 있는 파일에 URL을 매핑하고 CGI 스크립트와 같은 해석된 파일의 소스를 확인할 수 있는 결함이 Apache HTTP 서버 2.4.49에서 발견되었습니다. 이 문제는 실제로 악용되고 있는 것으로 알려져 있습니다. 이 문제는 Apache 2.4.49 및 2.4.50에 영향을 주지만 이전 버전에 영향을 주지 않습니다. 이 취약점에 대한 자세한 내용은 다음을 참조하세요.

CVE 레코드 CVE-2021-41773

Apache HTTP 서버 2.4 취약점

APACHE_HTTPD_SSRF 공격자가 선택한 원본 서버로 요청을 전달하게 mod_proxy를 만드는 Apache 웹 서버에 대한 URI를 공격자가 조작할 수 있습니다. 이 문제는 Apache HTTP 서버 2.4.48 이하에 영향을 줍니다. 이 취약점에 대한 자세한 내용은 다음을 참조하세요.

CVE 레코드 CVE-2021-40438

Apache HTTP 서버 2.4 취약점

CONSUL_RCE Consul 인스턴스는 true로 설정된 -enable-script-checks로 구성되고 Consul HTTP API가 보호되지 않고 네트워크를 통해 액세스할 수 있기 때문에 공격자가 Consul 서버에서 임의 코드를 실행할 수 있습니다. Consul 0.9.0 이하에서는 기본적으로 스크립트 검사가 사용됩니다. 자세한 내용은 특정 구성의 RCE 위험으로부터 Consul 보호를 참조하세요. 이 취약점을 검사하기 위해 Rapid Vulnerability Detection은 /v1/health/service REST 엔드포인트를 사용하여 Consul 인스턴스에 서비스를 등록하고 다음 중 하나를 실행합니다. * 네트워크 외부의 원격 서버에 대한 curl 명령어를 실행합니다. 공격자가 curl 명령어를 사용하여 서버의 데이터를 유출할 수 있습니다. * printf 명령어를 실행합니다. 그러면 Rapid Vulnerability Detection에서 /v1/health/service REST 엔드포인트를 사용하여 명령어 출력을 확인합니다. * 확인 후 Rapid Vulnerability Detection이 /v1/agent/service/deregister/ REST 엔드포인트를 사용하여 서비스를 삭제하고 등록 취소합니다.
DRUID_RCE Apache Druid에는 여러 유형의 요청에 포함된 사용자 제공 JavaScript 코드를 실행하는 기능이 포함되어 있습니다. 이 기능은 신뢰도가 높은 환경에서 사용하기 위한 것이며 기본적으로 중지됩니다. 하지만 Druid 0.20.0 이하에서는 인증된 사용자가 서버 구성에 관계없이 해당 요청에 사용자 제공 JavaScript 코드를 실행하도록 Druid를 강제하는 특별히 조작된 요청을 보낼 수 있습니다. 이를 활용해서 Druid 서버 프로세스 권한을 사용하여 대상 머신에서 코드를 실행할 수 있습니다. 자세한 내용은 CVE-2021-25646 세부정보를 참조하세요.
DRUPAL_RCE

Drupal 버전 7.58 이전, 8.3.9 이전의 8.x, 8.4.6 이전의 8.4.x 및 8.5.1 이전의 8.5.x는 Form API AJAX 요청에 대한 원격 코드 실행에 취약합니다.

Drupal 버전 8.5.11 이전의 8.5.x 및 8.6.10 이전의 8.6.x는 RESTful 웹 서비스 모듈이나 JSON API가 사용 설정된 경우 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 커스텀 POST 요청을 사용하여 이 취약점을 악용할 수 있습니다.

FLINK_FILE_DISCLOSURE Apache Flink 버전 1.11.0, 1.11.1, 1.11.2의 취약점으로 인해 공격자가 JobManager 프로세스의 REST 인터페이스를 통해 JobManager의 로컬 파일 시스템에 있는 파일을 읽을 수 있습니다. 액세스는 JobManager 프로세스에서 액세스할 수 있는 파일로 제한됩니다.
GITLAB_RCE GitLab Community Edition(CE) 및 Enterprise Edition(EE) 버전 11.9 이상에서 GitLab이 파일 파서로 전달된 이미지 파일을 올바르게 검증하지 않습니다. 공격자가 원격 명령어 실행을 위해 이 취약점을 악용할 수 있습니다.
GoCD_RCE GoCD 21.2.0 이하에는 인증 없이 액세스할 수 있는 엔드포인트가 있습니다. 이 엔드포인트에는 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있는 디렉터리 순회 취약점이 있습니다.
JENKINS_RCE Jenkins 버전 2.56 이하 및 2.46.1 LTS 이하는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 악의적인 직렬화된 Java 객체를 사용하여 이 취약점을 트리거할 수 있습니다.
JOOMLA_RCE

Joomla 버전 1.5.x, 2.x, 3.4.6 이전의 3.x는 원격 코드 실행에 취약합니다. 이 취약점은 직렬화된 PHP 객체가 포함된 조작된 헤더로 트리거될 수 있습니다.

Joomla 버전 3.0.0~3.4.6은 원격 코드 실행에 취약합니다. 이 취약점은 조작된 직렬화된 PHP 객체가 포함된 POST 요청을 전송하여 트리거할 수 있습니다.

LOG4J_RCE Apache Log4j2 2.14.1 이하에서 구성에 사용되는 JNDI 기능, 로그 메시지 및 매개변수는 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호 기능을 제공하지 않습니다. 자세한 내용은 CVE-2021-44228을 참조하세요.
MANTISBT_PRIVILEGE_ESCALATION 버전 2.3.0까지의 MantisBT는 빈 confirm_hash 값을 verify.php에 제공하여 임의 비밀번호 재설정 및 인증되지 않은 관리자 액세스를 허용합니다.
OGNL_RCE Confluence Server 및 데이터 센터 인스턴스에는 인증되지 않은 공격자가 임의의 코드를 실행할 수 있게 해주는 OGNL 삽입 취약점이 있습니다. 자세한 내용은 CVE-2021-26084를 참조하세요.
OPENAM_RCE OpenAM 서버 14.6.2 이하 및 ForgeRock AM 서버 6.5.3 이하에서는 여러 페이지의 jato.pageSession 매개변수에 Java 역직렬화 취약점이 있습니다. 악용 시에는 인증이 필요하지 않으며 서버에 조작된 단일 /ccversion/* 요청을 전송하여 원격 코드 실행을 트리거할 수 있습니다. Sun ONE 애플리케이션의 사용으로 인한 취약점이 존재합니다. 자세한 내용은 CVE-2021-35464를 참조하세요.
ORACLE_WEBLOGIC_RCE 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 취약점이 포함되어 있습니다. 쉽게 악용할 수 있는 취약점으로 인해 HTTP를 통한 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle WebLogic 서버를 손상시킬 수 있습니다. 이 취약점 공격에 성공하면 Oracle WebLogic 서버를 탈취할 수 있습니다. 자세한 내용은 CVE-2020-14882를 참조하세요.
PHPUNIT_RCE PHPUnit 버전 5.6.3 이전은 인증되지 않은 단일 POST 요청으로 원격 코드 실행을 허용합니다.
PHP_CGI_RCE 5.3.12 이전 및 5.4.2 이전의 5.4.x 버전의 PHP는 CGI 스크립트로 구성되면 원격 코드 실행을 허용합니다. 취약한 코드는 =(등호 기호) 문자가 없는 쿼리 문자열을 올바르게 처리하지 않습니다. 이로 인해 공격자가 서버에서 실행되는 명령줄 옵션을 추가할 수 있습니다.
PORTAL_RCE CE GA2 7.2.1 이전의 Liferay 포털 버전에서 신뢰할 수 없는 데이터를 역직렬화하면 원격 공격자가 JSON 웹 서비스를 통해 임의의 코드를 실행할 수 있습니다.
REDIS_RCE 관리 명령어 실행을 위해 Redis 인스턴스에 인증이 필요하지 않으면 공격자가 임의 코드를 실행할 수 있습니다.
SOLR_FILE_EXPOSED 오픈소스 검색 서버인 Apache Solr에서는 인증이 사용 설정되지 않습니다. Apache Solr에서 인증을 요구하지 않으면 공격자가 특정 구성을 사용 설정하기 위해 요청을 직접 조작한 후 서버 측 요청 위조(SSRF)를 구현하거나 임의 파일을 읽을 수 있습니다.
SOLR_RCE Apache Solr 버전 5.0.0~8.3.1은 params.resource.loader.enabled가 true로 설정된 경우 VelocityResponseWriter를 통한 원격 코드 실행에 취약합니다. 공격자는 이를 통해 악의적인 속도 템플릿이 포함된 매개변수를 만들 수 있습니다.
STRUTS_RCE
  • Apache Struts 버전 2.3.32 및 2.5.10.1 이전의 2.5.x는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 조작된 Content-Type 헤더를 제공하여 이 취약점을 트리거할 수 있습니다.
  • Apache Struts 버전 2.1.1~2.3.34 이전의 2.3.x 및 2.5.13 이전의 2.5.x의 REST 플러그인은 조작된 XML 페이로드 역직렬화 시 원격 코드 실행에 취약합니다.
  • Apache Struts 버전 2.3~2.3.34 및 2.5~2.5.16은 alwaysSelectFullNamespace가 true로 설정되고 특정 기타 작업 구성이 있으면 원격 코드 실행에 취약합니다.
TOMCAT_FILE_DISCLOSURE Apache Tomcat 버전 9.0.31 이전의 9.x, 8.5.51 이전의 8.x, 7.0.100 이전의 7.x, 모든 6.x는 노출된 Apache JServ 프로토콜 커넥터를 통한 소스 코드와 구성 공개에 취약합니다. 경우에 따라 파일 업로드가 허용되면 원격 코드 실행을 수행할 때 이 방법이 활용됩니다.
VBULLETIN_RCE 버전 5.0.0~5.5.4를 실행하는 vBulletin 서버는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 routestring 요청에 쿼리 매개변수를 사용하여 이 취약점을 악용할 수 있습니다.
VCENTER_RCE VMware vCenter Server 버전 7.0 U1c 이전의 7.x, 6.7 U3l 이전의 6.7, 6.5 U3n 이전의 6.5는 원격 코드 실행에 취약합니다. 공격자는 조작된 Java 서버 페이지 파일을 웹 액세스 가능한 디렉터리에 업로드한 후 파일 실행을 트리거하여 이 취약점을 트리거할 수 있습니다.
WEBLOGIC_RCE 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 원격 코드 실행 취약점이 포함되어 있습니다. 이 취약점은 CVE-2020-14750, CVE-2020-14882, CVE-2020-14883과 관련이 있습니다. 자세한 내용은 CVE-2020-14883을 참조하세요.
OS_VULNERABILITY VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다.
UNUSED_IAM_ROLE IAM 추천자가 지난 90일 동안 사용되지 않은 IAM 역할이 있는 사용자 계정을 감지했습니다.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM 추천자에서 서비스 에이전트에 부여된 원래 기본 IAM 역할이 기본 IAM 역할(소유자 ,편집자 또는 뷰어) 중 하나로 대체되었음을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여되어서는 안 됩니다.

지원되는 GCP_SECURITYCENTER_MISCONFIGURATION 발견 항목

필드 매핑 참조: MISCONFIGURATION 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
API_KEY_APIS_UNRESTRICTED API 키가 너무 광범위하게 사용되고 있습니다. 이를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한합니다.
API_KEY_APPS_UNRESTRICTED 무제한으로 사용 중인 API 키가 있으며 신뢰할 수 없는 앱에서 사용할 수 있습니다.
API_KEY_EXISTS 프로젝트에서 표준 인증 대신 API 키를 사용합니다.
API_KEY_NOT_ROTATED API 키가 90일 이상 순환되지 않았습니다.
PUBLIC_COMPUTE_IMAGE Compute Engine 이미지에 공개적으로 액세스할 수 있습니다.
CONFIDENTIAL_COMPUTING_DISABLED 컨피덴셜 컴퓨팅이 Compute Engine 인스턴스에서 중지되었습니다.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED 프로젝트의 모든 인스턴스에 로그인할 수 있도록 프로젝트 전체 SSH 키가 사용됩니다.
COMPUTE_SECURE_BOOT_DISABLED 이 보안 VM에는 보안 부팅이 사용 설정되어 있지 않습니다. 보안 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다.
DEFAULT_SERVICE_ACCOUNT_USED 인스턴스는 기본 서비스 계정을 사용하도록 구성됩니다.
FULL_API_ACCESS 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용하도록 구성되어 있습니다.
OS_LOGIN_DISABLED 이 인스턴스에서 OS 로그인이 사용 중지됩니다.
PUBLIC_IP_ADDRESS 인스턴스에 공개 IP 주소가 있습니다.
SHIELDED_VM_DISABLED 이 인스턴스에서 보안 VM이 사용 중지되었습니다.
COMPUTE_SERIAL_PORTS_ENABLED 인스턴스에 직렬 포트가 사용 설정되어 있으면 인스턴스의 직렬 콘솔 연결이 허용됩니다.
DISK_CMEK_DISABLED 이 VM의 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
HTTP_LOAD_BALANCER 인스턴스는 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기를 사용합니다.
IP_FORWARDING_ENABLED 인스턴스에 IP 전달이 사용 설정되어 있습니다.
WEAK_SSL_POLICY 인스턴스의 SSL 정책이 취약합니다.
BINARY_AUTHORIZATION_DISABLED GKE 클러스터에서 Binary Authorization이 사용 중지되었습니다.
CLUSTER_LOGGING_DISABLED GKE 클러스터에 로깅이 사용 설정되지 않았습니다.
CLUSTER_MONITORING_DISABLED Monitoring이 GKE 클러스터에서 사용 중지됩니다.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED 클러스터 호스트가 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않았습니다.
CLUSTER_SECRETS_ENCRYPTION_DISABLED 애플리케이션 레이어 보안 비밀 암호화가 GKE 클러스터에서 중지되었습니다.
INTRANODE_VISIBILITY_DISABLED GKE 클러스터에 대해 노드 내 가시성이 사용 중지되었습니다.
MASTER_AUTHORIZED_NETWORKS_DISABLED 제어 영역 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다.
NETWORK_POLICY_DISABLED 네트워크 정책은 GKE 클러스터에서 사용 중지됩니다.
NODEPOOL_SECURE_BOOT_DISABLED GKE 클러스터에 대해 보안 부팅이 중지되었습니다.
OVER_PRIVILEGED_ACCOUNT 서비스 계정의 클러스터에 지나치게 광범위한 프로젝트 액세스 권한이 있습니다.
OVER_PRIVILEGED_SCOPES 노드 서비스 계정에 광범위한 액세스 범위가 있습니다.
POD_SECURITY_POLICY_DISABLED GKE 클러스터에 PodSecurityPolicy가 중지되었습니다.
PRIVATE_CLUSTER_DISABLED GKE 클러스터에 비공개 클러스터가 사용 중지되어 있습니다.
WORKLOAD_IDENTITY_DISABLED GKE 클러스터가 출시 채널에 구독되지 않습니다.
LEGACY_AUTHORIZATION_ENABLED 기존 승인이 GKE 클러스터에서 사용 설정됩니다.
NODEPOOL_BOOT_CMEK_DISABLED 이 노드 풀에 있는 부팅 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
WEB_UI_ENABLED GKE 웹 UI(대시보드)가 사용 설정됩니다.
AUTO_REPAIR_DISABLED 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 중지되어 있습니다.
AUTO_UPGRADE_DISABLED 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 중지되어 있습니다.
CLUSTER_SHIELDED_NODES_DISABLED 보안 GKE 노드가 클러스터에 대해 사용 설정되지 않습니다.
RELEASE_CHANNEL_DISABLED GKE 클러스터가 출시 채널에 구독되지 않습니다.
BIGQUERY_TABLE_CMEK_DISABLED BigQuery 테이블이 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다.
DATASET_CMEK_DISABLED BigQuery 데이터 세트가 기본 CMEK를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다.
EGRESS_DENY_RULE_NOT_SET 이그레스 거부 규칙은 방화벽에 설정되지 않습니다. 이그레스 거부 규칙은 원치 않는 아웃바운드 트래픽을 차단하도록 설정해야 합니다.
FIREWALL_RULE_LOGGING_DISABLED 방화벽 규칙 로깅이 사용 중지되었습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다.
OPEN_CASSANDRA_PORT 방화벽은 일반 액세스를 허용하는 개방형 Cassandra 포트를 갖도록 구성됩니다.
OPEN_SMTP_PORT 방화벽은 일반 액세스를 허용하는 개방형 SMTP 포트를 갖도록 구성됩니다.
OPEN_REDIS_PORT 방화벽은 일반 액세스를 허용하는 개방형 REDIS 포트를 갖도록 구성됩니다.
OPEN_POSTGRESQL_PORT 방화벽은 일반 액세스를 허용하는 개방형 PostgreSQL 포트를 갖도록 구성됩니다.
OPEN_POP3_PORT 방화벽은 일반 액세스를 허용하는 개방형 POP3 포트를 갖도록 구성됩니다.
OPEN_ORACLEDB_PORT 방화벽은 일반 액세스를 허용하는 개방형 NETBIOS 포트를 갖도록 구성됩니다.
OPEN_NETBIOS_PORT 방화벽은 일반 액세스를 허용하는 개방형 NETBIOS 포트를 갖도록 구성됩니다.
OPEN_MYSQL_PORT 방화벽은 일반 액세스를 허용하는 개방형 MYSQL 포트를 갖도록 구성됩니다.
OPEN_MONGODB_PORT 방화벽은 일반 액세스를 허용하는 개방형 MONGODB 포트를 갖도록 구성됩니다.
OPEN_MEMCACHED_PORT 방화벽은 일반 액세스를 허용하는 개방형 MEMCACHED 포트를 갖도록 구성됩니다.
OPEN_LDAP_PORT 방화벽은 일반 액세스를 허용하는 개방형 LDAP 포트를 갖도록 구성됩니다.
OPEN_FTP_PORT 방화벽은 일반 액세스를 허용하는 개방형 FTP 포트를 갖도록 구성됩니다.
OPEN_ELASTICSEARCH_PORT 방화벽은 일반 액세스를 허용하는 개방형 ELASTICSEARCH 포트를 갖도록 구성됩니다.
OPEN_DNS_PORT 방화벽은 일반 액세스를 허용하는 개방형 DNS 포트를 갖도록 구성됩니다.
OPEN_HTTP_PORT 방화벽은 일반 액세스를 허용하는 개방형 HTTP 포트를 갖도록 구성됩니다.
OPEN_DIRECTORY_SERVICES_PORT 방화벽이 일반 액세스를 허용하는 열린 DIRECTORY_SERVICES 포트를 갖도록 구성됩니다.
OPEN_CISCOSECURE_WEBSM_PORT 방화벽은 일반 액세스를 허용하는 개방형 CISCOSECURE_WEBSM 포트를 갖도록 구성됩니다.
OPEN_RDP_PORT 방화벽은 일반 액세스를 허용하는 개방형 RDP 포트를 갖도록 구성됩니다.
OPEN_TELNET_PORT 방화벽은 일반 액세스를 허용하는 개방형 TELNET 포트를 갖도록 구성됩니다.
OPEN_FIREWALL 방화벽은 공개 액세스가 가능하도록 구성되어 있습니다.
OPEN_SSH_PORT 방화벽은 일반 액세스를 허용하는 개방형 SSH 포트를 갖도록 구성됩니다.
SERVICE_ACCOUNT_ROLE_SEPARATION 사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 할당되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다.
NON_ORG_IAM_MEMBER 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. CIS Google Cloud Foundations 1.0에 따라 현재는 @gmail.com 이메일 주소가 있는 ID만 이 감지기를 트리거합니다.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER 사용자에게 특정 서비스 계정 대신 프로젝트 수준에서 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다.
ADMIN_SERVICE_ACCOUNT 서비스 계정에는 관리자, 소유자, 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다.
SERVICE_ACCOUNT_KEY_NOT_ROTATED 서비스 계정 키가 90일 이상 순환되지 않았습니다.
USER_MANAGED_SERVICE_ACCOUNT_KEY 사용자가 서비스 계정 키를 관리합니다.
PRIMITIVE_ROLES_USED 사용자에게 소유자, 작성자, 또는 독자 등의 기본 역할이 있습니다. 이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다.
KMS_ROLE_SEPARATION 업무 분리가 시행되지 않으며 CryptoKey 암호화/복호화, 암호화, 복호화와 같은 Cloud Key Management Service(Cloud KMS) 역할을 동시에 갖는 사용자가 존재합니다.
OPEN_GROUP_IAM_MEMBER 승인 없이 결합할 수 있는 Google 그룹스 계정이 IAM 허용 정책 주 구성원으로 사용됩니다.
KMS_KEY_NOT_ROTATED 순환게재는 Cloud KMS 암호화 키에 구성되어 있지 않습니다. 키는 90일 내에 순환되어야 합니다.
KMS_PROJECT_HAS_OWNER 사용자가 암호화 키가 있는 프로젝트에 대한 소유자 권한을 갖습니다.
TOO_MANY_KMS_USERS 암호화 키 사용자가 4명 이상입니다.
OBJECT_VERSIONING_DISABLED 싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되어 있지 않습니다.
LOCKED_RETENTION_POLICY_NOT_SET 로그에 잠긴 보존 정책이 설정되어 있지 않습니다.
BUCKET_LOGGING_DISABLED 로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다.
LOG_NOT_EXPORTED 적절한 로그 싱크가 구성되어 있지 않은 리소스가 있습니다.
AUDIT_LOGGING_DISABLED 이 리소스에 대한 감사 로깅이 사용 중지되었습니다.
MFA_NOT_ENFORCED 2단계 인증을 사용하지 않는 사용자가 있습니다.
ROUTE_NOT_MONITORED 로그 측정항목과 알림은 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않습니다.
OWNER_NOT_MONITORED 로그 측정항목 및 알림은 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않습니다.
AUDIT_CONFIG_NOT_MONITORED 로그 측정항목 및 알림이 감사 구성 변경사항을 모니터링하도록 구성되지 않았습니다.
BUCKET_IAM_NOT_MONITORED 로그 측정항목 및 알림이 Cloud Storage IAM 권한 변경을 모니터링하도록 구성되지 않았습니다.
CUSTOM_ROLE_NOT_MONITORED 로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다.
FIREWALL_NOT_MONITORED 로그 측정항목 및 알림이 Virtual Private Cloud(VPC) 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않았습니다.
NETWORK_NOT_MONITORED 로그 측정항목 및 알림은 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다.
SQL_INSTANCE_NOT_MONITORED 로그 측정항목 및 알림이 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않았습니다.
DEFAULT_NETWORK 프로젝트에 기본 네트워크가 있습니다.
DNS_LOGGING_DISABLED VPC 네트워크의 DNS 로깅이 사용 설정되지 않았습니다.
PUBSUB_CMEK_DISABLED Pub/Sub 주제가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
PUBLIC_SQL_INSTANCE Cloud SQL 데이터베이스 인스턴스는 모든 IP 주소의 연결을 허용합니다.
SSL_NOT_ENFORCED Cloud SQL 데이터베이스 인스턴스는 SSL을 사용하기 위해 모든 수신 연결을 필요로 하지 않습니다.
AUTO_BACKUP_DISABLED Cloud SQL 데이터베이스에는 자동 백업이 사용 설정되어 있지 않습니다.
SQL_CMEK_DISABLED SQL 데이터베이스 인스턴스가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
SQL_LOG_CHECKPOINTS_DISABLED PostgreSQL용 Cloud SQL 인스턴스의 log_checkpoints 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_LOG_CONNECTIONS_DISABLED PostgreSQL용 Cloud SQL 인스턴스의 log_connections 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_LOG_DISCONNECTIONS_DISABLED PostgreSQL용 Cloud SQL 인스턴스의 log_disconnections 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_LOG_DURATION_DISABLED PostgreSQL용 Cloud SQL 인스턴스의 log_duration 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_LOG_LOCK_WAITS_DISABLED PostgreSQL용 Cloud SQL 인스턴스의 log_lock_waits 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_LOG_STATEMENT PostgreSQL용 Cloud SQL 인스턴스의 log_statement 데이터베이스 플래그가 DDL(모든 데이터 정의 문)로 설정되지 않았습니다.
SQL_NO_ROOT_PASSWORD Cloud SQL 데이터베이스에 루트 계정에 대해 구성된 비밀번호가 없습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
SQL_PUBLIC_IP Cloud SQL Database에는 공개 IP 주소가 있습니다.
SQL_CONTAINED_DATABASE_AUTHENTICATION SQL Server용 Cloud SQL 인스턴스의 contained database authentication 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_CROSS_DB_OWNERSHIP_CHAINING SQL Server용 Cloud SQL 인스턴스의 cross_db_ownership_chaining 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOCAL_INFILE MySQL용 Cloud SQL 인스턴스의 local_infile 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_LOG_MIN_ERROR_STATEMENT PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그가 적절하게 설정되지 않았습니다.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그에 대한 심각도 수준이 적절하지 않습니다.
SQL_LOG_TEMP_FILES PostgreSQL용 Cloud SQL 인스턴스의 log_temp_files 데이터베이스 플래그가 '0'으로 설정되지 않았습니다.
SQL_REMOTE_ACCESS_ENABLED SQL Server용 Cloud SQL 인스턴스의 remote access 데이터베이스 플래그가 off로 설정되지 않았습니다.
SQL_SKIP_SHOW_DATABASE_DISABLED MySQL용 Cloud SQL 인스턴스의skip_show_database 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_TRACE_FLAG_3625 SQL Server용 Cloud SQL 인스턴스의 3625(trace 플래그) 데이터베이스 플래그가 on으로 설정되지 않았습니다.
SQL_USER_CONNECTIONS_CONFIGURED SQL Server용 Cloud SQL 인스턴스의 user connections 데이터베이스 플래그가 구성되었습니다.
SQL_USER_OPTIONS_CONFIGURED SQL Server용 Cloud SQL 인스턴스의 user options 데이터베이스 플래그가 구성되었습니다.
PUBLIC_BUCKET_ACL Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다.
BUCKET_POLICY_ONLY_DISABLED 이전에 버킷 전용 정책이라고 불렀던 균일한 버킷 수준 액세스가 구성되지 않았습니다.
BUCKET_CMEK_DISABLED 버킷이 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.
FLOW_LOGS_DISABLED 흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다.
PRIVATE_GOOGLE_ACCESS_DISABLED Google 공개 API에 액세스할 수 없는 비공개 서브네트워크가 있습니다.
kms_key_region_europe 회사 정책에 따라 모든 암호화 키는 유럽에 저장되어 있어야 합니다.
kms_non_euro_region 회사 정책에 따라 모든 암호화 키는 유럽에 저장되어 있어야 합니다.
LEGACY_NETWORK 기존 네트워크가 프로젝트에 존재합니다.
LOAD_BALANCER_LOGGING_DISABLED 부하 분산기의 로깅이 중지되었습니다.

지원되는 GCP_SECURITYCENTER_POSTURE_VIOLATION 발견 항목

필드 매핑 참조: POSTURE VIOLATION 테이블에서 UDM 매핑을 찾을 수 있습니다.

발견 항목 이름 설명
SECURITY_POSTURE_DRIFT 보안 상황 내에서 정의된 정책의 드리프트. 이는 보안 상황 서비스에서 감지됩니다.
SECURITY_POSTURE_POLICY_DRIFT 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 조직 정책의 변경사항을 감지했습니다.
SECURITY_POSTURE_POLICY_DELETE 보안 상황 서비스에서 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다.
SECURITY_POSTURE_DETECTOR_DRIFT 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 감지기의 변경사항을 감지했습니다.
SECURITY_POSTURE_DETECTOR_DELETE 보안 상황 서비스에서 Security Health Analytics 커스텀 모듈이 삭제된 것을 감지되었습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다.

필드 매핑 참조

이 섹션에서는 Google Security Operations 파서가 Security Command Center 로그 필드를 데이터 세트의 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑하는 방식을 설명합니다.

필드 매핑 참조: 원시 로그 필드에서 UDM 필드로

다음 표에는 Security Command Center Event Threat Detection 발견 항목의 로그 필드와 해당하는 UDM 매핑이 나와 있습니다.

RawLog 필드 UDM 매핑 논리
compliances.ids about.labels [compliance_ids](지원 중단됨)
compliances.ids additional.fields [compliance_ids]
compliances.version about.labels [compliance_version](지원 중단됨)
compliances.version additional.fields [compliance_version]
compliances.standard about.labels [compliances_standard](지원 중단됨)
compliances.standard additional.fields [compliances_standard]
connections.destinationIp about.labels [connections_destination_ip](지원 중단됨) connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp와 일치하지 않는 경우 connections.destinationIp 로그 필드가 about.labels.value UDM 필드에 매핑됩니다.
connections.destinationIp additional.fields [connections_destination_ip] connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp와 일치하지 않는 경우 connections.destinationIp 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다.
connections.destinationPort about.labels [connections_destination_port](지원 중단됨)
connections.destinationPort additional.fields [connections_destination_port]
connections.protocol about.labels [connections_protocol](지원 중단됨)
connections.protocol additional.fields [connections_protocol]
connections.sourceIp about.labels [connections_source_ip](지원 중단됨)
connections.sourceIp additional.fields [connections_source_ip]
connections.sourcePort about.labels [connections_source_port](지원 중단됨)
connections.sourcePort additional.fields [connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type message 로그 필드 값이 정규 표현식 패턴 kubernetes와 일치하면 target.resource_ancestors.resource_type UDM 필드가 클러스터로 설정됩니다.
그 밖의 경우 message 로그 필드 값이 kubernetes.*?pods 정규 표현식과 일치하면 target.resource_ancestors.resource_type UDM 필드가 포드로 설정됩니다.
about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM 필드는 GOOGLE_CLOUD_PLATFORM으로 설정됩니다.
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.pods.containers.createTime target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type category 로그 필드 값이 Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled 또는 Persistence: SSO Enablement Toggle과 일치하는 경우 extension.auth.type UDM 필드가 SSO으로 설정됩니다.
extension.mechanism category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 extension.mechanism UDM 필드가 USERNAME_PASSWORD로 설정됩니다.
extensions.auth.type principal.user.user_authentication_status 로그 필드 값이 ACTIVE와 일치하는 경우 extensions.auth.type UDM 필드가 SSO로 설정됩니다.
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](지원 중단됨)
vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](지원 중단됨)
vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](지원 중단됨)
vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](지원 중단됨)
vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](지원 중단됨)
vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](지원 중단됨)
vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](지원 중단됨)
vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](지원 중단됨)
vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](지원 중단됨)
vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](지원 중단됨)
vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name category 로그 필드 값이 Initial Access: Log4j Compromise Attempt와 일치하는 경우 sourceProperties.properties.loadBalancerName 로그 필드가 intermediary.resource.name UDM 필드에 매핑됩니다.
intermediary.resource.resource_type category 로그 필드 값이 Initial Access: Log4j Compromise Attempt와 일치하는 경우 intermediary.resource.resource_type UDM 필드가 BACKEND_SERVICE로 설정됩니다.
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id canonicalName 로그 필드 값이 비어 있지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.

finding_id 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드가 metadata.product_log_id UDM 필드에 매핑됩니다.

canonicalName로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다.
metadata.product_name metadata.product_name UDM 필드는 Security Command Center으로 설정됩니다.
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name metadata.vendor_name UDM 필드는 Google으로 설정됩니다.
network.application_protocol category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain와 일치하는 경우 network.application_protocol UDM 필드가 DNS으로 설정됩니다.
sourceProperties.properties.indicatorContext.asn network.asn category 로그 필드 값이 Malware: Cryptomining Bad IP와 일치하는 경우 sourceProperties.properties.indicatorContext.asn 로그 필드가 network.asn UDM 필드에 매핑됩니다.
sourceProperties.properties.indicatorContext.carrierName network.carrier_name category 로그 필드 값이 Malware: Cryptomining Bad IP와 일치하는 경우 sourceProperties.properties.indicatorContext.carrierName 로그 필드가 network.carrier_name UDM 필드에 매핑됩니다.
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.indicatorContext.reverseDnsDomain 로그 필드가 network.dns_domain UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class category 로그 필드 값이 Malware: Bad Domain와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseClass 로그 필드가 network.dns.answers.class UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data category 로그 필드 값이 정규 표현식 Malware: Bad Domain와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseValue 로그 필드가 network.dns.answers.data UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name category 로그 필드 값이 Malware: Bad Domain와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.domainName 로그 필드가 network.dns.answers.name UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl category 로그 필드 값이 Malware: Bad Domain와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.ttl 로그 필드가 network.dns.answers.ttl UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type category 로그 필드 값이 Malware: Bad Domain와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseType 로그 필드가 network.dns.answers.type UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain과 일치하는 경우 sourceProperties.properties.dnsContexts.authAnswer 로그 필드가 network.dns.authoritative UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain과 일치하는 경우 sourceProperties.properties.dnsContexts.queryName 로그 필드가 network.dns.questions.name UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain과 일치하는 경우 sourceProperties.properties.dnsContexts.queryType 로그 필드가 network.dns.questions.type UDM 필드에 매핑됩니다.
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain과 일치하는 경우 sourceProperties.properties.dnsContexts.responseCode 로그 필드가 network.dns.response_code UDM 필드에 매핑됩니다.
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent category 로그 필드 값이 Persistence: New User Agent와 일치하는 경우 sourceProperties.properties.anomalousSoftware.callerUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다.
sourceProperties.properties.callerUserAgent network.http.user_agent category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script과 일치하는 경우 sourceProperties.properties.callerUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다.
access.userAgentFamily network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent category 로그 필드 값이 Discovery: Service Account Self-Investigation와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다.
sourceProperties.properties.ipConnection.protocol network.ip_protocol category 로그 필드 값이 Malware: Bad IP, Malware: Cryptomining Bad IP 또는Malware: Outgoing DoS와 일치하는 경우 network.ip_protocol UDM 필드가 다음 값 중 하나로 설정됩니다.
  • 다음 조건이 충족되는 경우 ICMP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 1 또는 ICMP과 일치합니다.
  • 다음 조건이 충족되는 경우 IGMP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 2 또는 IGMP과 일치합니다.
  • 다음 조건이 충족되는 경우 TCP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 6 또는 TCP과 일치합니다.
  • 다음 조건이 충족되는 경우 UDP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 17 또는 UDP과 일치합니다.
  • 다음 조건이 충족되는 경우 IP6IN4로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 41 또는 IP6IN4과 일치합니다.
  • 다음 조건이 충족되는 경우 GRE로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 47 또는 GRE과 일치합니다.
  • 다음 조건이 충족되는 경우 ESP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 50 또는 ESP과 일치합니다.
  • 다음 조건이 충족되는 경우 EIGRP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 88 또는 EIGRP과 일치합니다.
  • 다음 조건이 충족되는 경우 ETHERIP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 97 또는 ETHERIP과 일치합니다.
  • 다음 조건이 충족되는 경우 PIM로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 103 또는 PIM과 일치합니다.
  • 다음 조건이 충족되는 경우 VRRP로 설정됩니다.
    • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 112 또는 VRRP와 일치합니다.
  • sourceProperties.properties.ipConnection.protocol 로그 필드 값이 다른 값과 일치하는 경우 UNKNOWN_IP_PROTOCOL로 설정됩니다.
    sourceProperties.properties.indicatorContext.organizationName network.organization_name category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.indicatorContext.organizationName 로그 필드가 network.organization_name UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration category 로그 필드 값이 Persistence: New User Agent와 일치하는 경우 sourceProperties.properties.anomalousSoftware.behaviorPeriod 로그 필드가 network.session_duration UDM 필드에 매핑됩니다.
    sourceProperties.properties.sourceIp principal.ip category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.attempts.sourceIp principal.ip category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    access.callerIp principal.ip category 로그 필드 값이 Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography 또는 Persistence: IAM Anomalous Grant와 일치하는 경우 access.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip category 로그 필드 값이 Discovery: Service Account Self-Investigation와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.changeFromBadIp.ip principal.ip category 로그 필드 값이 Evasion: Access from Anonymizing Proxy와 일치하는 경우 sourceProperties.properties.changeFromBadIp.ip 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.dnsContexts.sourceIp principal.ip category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain과 일치하는 경우 sourceProperties.properties.dnsContexts.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.ipConnection.srcIp principal.ip category 로그 필드 값이 Malware: Bad IP, Malware: Cryptomining Bad IP 또는 Malware: Outgoing DoS과 일치하는 경우 sourceProperties.properties.ipConnection.srcIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP와 일치하고 sourceProperties.properties.ipConnection.srcIp 로그 필드 값이 sourceProperties.properties.indicatorContext.ipAddress와 일치하지 않는 경우 sourceProperties.properties.indicatorContext.ipAddress 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousLocation.callerIp principal.ip category 로그 필드 값이 Persistence: New Geography와 일치하는 경우 sourceProperties.properties.anomalousLocation.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.properties.scannerDomain principal.labels [sourceProperties_properties_scannerDomain](지원 중단됨) category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.scannerDomain 로그 필드가 principal.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.scannerDomain additional.fields [sourceProperties_properties_scannerDomain] category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.scannerDomain 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState](지원 중단됨) category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하면 sourceProperties.properties.dataExfiltrationAttempt.jobState 로그 필드가 principal.labels.key/value 및 UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.jobState additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.jobState 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다.
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.indicatorContext.countryCode 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.job.location 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.job.location 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region category 로그 필드 값이 Persistence: New Geography 또는 Persistence: IAM Anomalous Grant과 일치하는 경우 sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.anomalousLocation.anomalousLocation 로그 필드가 principal.location.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.ipConnection.srcPort principal.port category 로그 필드 값이 Malware: Bad IP 또는 Malware: Outgoing DoS과 일치하는 경우 sourceProperties.properties.ipConnection.srcPort 로그 필드가 principal.port UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 principal.process.file.full_path UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.jobLink 로그 필드가 principal.process.file.full_path UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.job.jobId 로그 필드가 principal.process.pid UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.job.jobId 로그 필드가 principal.process.pid UDM 필드에 매핑됩니다.
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.srcVpc.subnetworkName 로그 필드가 principal.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.srcVpc.projectId 로그 필드가 principal.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 principal.resource_ancestors.name UDM 필드에 매핑되고 principal.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] message 로그 필드 값이 정규 표현식 sourceProperties.sourceId.*?customerOrganizationNumber와 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 principal.resource.attribute.labels.key/value UDM 필드에 매핑됩니다.
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name sourceProperties.properties.projectId 로그 필드 값이 비어 있지 않은 경우 sourceProperties.properties.projectId 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name category 로그 필드 값이 Discovery: Service Account Self-Investigation과 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.sourceInstanceDetails principal.resource.name category 로그 필드 값이 Malware: Outgoing DoS와 일치하는 경우 sourceProperties.properties.sourceInstanceDetails 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다.
    principal.user.account_type access.principalSubject 로그 필드 값이 serviceAccount 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 SERVICE_ACCOUNT_TYPE으로 설정됩니다.

    그 밖의 경우 access.principalSubject 로그 필드 값이 user 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 CLOUD_ACCOUNT_TYPE으로 설정됩니다.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] category 로그 필드 값이 Discovery: Service Account Self-Investigation와 일치하는 경우 principal.user.attribute.labels.key UDM 필드가 rawUserAgent로 설정되고 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses category 로그 필드 값이 Discovery: Service Account Self-Investigation와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses category 로그 필드 값이 Evasion: Access from Anonymizing Proxy와 일치하는 경우 sourceProperties.properties.changeFromBadIp.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.userEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.principalEmail principal.user.email_addresses category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 sourceProperties.properties.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.

    category 로그 필드 값이 Initial Access: Suspicious Login Blocked와 일치하는 경우 sourceProperties.properties.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    access.principalEmail principal.user.email_addresses category 로그 필드 값이 Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization 또는 Persistence: New Geography와 일치하는 경우 access.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses category 로그 필드 값이 Persistence: New User Agent와 일치하는 경우 sourceProperties.properties.anomalousSoftware.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization와 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses category 로그 필드 값이 Persistence: New Geography와 일치하는 경우 sourceProperties.properties.anomalousLocation.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses category 로그 필드 값이 Credential Access: External Member Added To Privileged Group와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses category 로그 필드 값이 Credential Access: Privileged Group Opened To Public와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.vpcViolation.userEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.
    sourceProperties.properties.ssoState principal.user.user_authentication_status category 로그 필드 값이 Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled 또는 Persistence: SSO Enablement Toggle과 일치하는 경우 sourceProperties.properties.ssoState 로그 필드가 principal.user.user_authentication_status UDM 필드에 매핑됩니다.
    database.userName principal.user.userid category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 database.userName 로그 필드가 principal.user.userid UDM 필드에 매핑됩니다.
    sourceProperties.properties.threatIntelligenceSource security_result.about.application category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.threatIntelligenceSource 로그 필드가 security_result.about.application UDM 필드에 매핑됩니다.
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.sourceIp 로그 필드가 security_result.about.ip UDM 필드에 매핑됩니다.
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑됩니다.

    category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.properties.delta.restrictedResources.resourceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 CLOUD_PROJECT로 설정됩니다.
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.properties.delta.allowedServices.serviceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 BACKEND_SERVICE로 설정됩니다.
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.properties.delta.restrictedServices.serviceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 BACKEND_SERVICE로 설정됩니다.
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.properties.delta.accessLevels.policyName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 ACCESS_POLICY로 설정됩니다.
    security_result.about.user.attribute.roles.name message 로그 필드 값이 contacts.?security 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 security으로 설정됩니다.

    message 로그 필드 값이 contacts.?technical 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 Technical으로 설정됩니다.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action category 로그 필드 값이 Initial Access: Suspicious Login Blocked와 일치하는 경우 security_result.action UDM 필드가 BLOCK으로 설정됩니다.

    category 로그 필드 값이 Brute Force: SSH와 일치하고 sourceProperties.properties.attempts.authResult 로그 필드 값이 SUCCESS와 일치하는 경우 security_result.action UDM 필드가 BLOCK으로 설정됩니다.

    그 밖의 경우 security_result.action UDM 필드가 BLOCK으로 설정됩니다.
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details category 로그 필드 값이 Defense Evasion: Modify VPC Service Control와 일치하는 경우 sourceProperties.properties.delta.restrictedResources.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다.
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details category 로그 필드 값이 Defense Evasion: Modify VPC Service Control와 일치하는 경우 sourceProperties.properties.delta.restrictedServices.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다.
    sourceProperties.properties.delta.allowedServices.action security_result.action_details category 로그 필드 값이 Defense Evasion: Modify VPC Service Control와 일치하는 경우 sourceProperties.properties.delta.allowedServices.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다.
    sourceProperties.properties.delta.accessLevels.action security_result.action_details category 로그 필드 값이 Defense Evasion: Modify VPC Service Control와 일치하는 경우 sourceProperties.properties.delta.accessLevels.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다.
    security_result.alert_state state 로그 필드 값이 ACTIVE와 일치하는 경우 security_result.alert_state UDM 필드가 ALERTING으로 설정됩니다.

    그 밖의 경우 security_result.alert_state UDM 필드가 NOT_ALERTING으로 설정됩니다.
    findingClass security_result.catgory_details findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다.
    category security_result.catgory_details findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] mute 로그 필드 값이 MUTED 또는 UNMUTED과 일치하는 경우 muteInitiator 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] mute 로그 필드 값이 MUTED 또는 UNMUTED과 일치하는 경우 muteUpdateTimer 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] category 로그 필드 값이 Persistence: New User Agent와 일치하는 경우 sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.authResult 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.indicatorType 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.customer_industry 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.customer_name 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.lasthit 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.myVote 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.support_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_class_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_name 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.upVotes 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.downVotes 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP 또는 Persistence: IAM Anomalous Grant와 일치하는 경우 security_result.detection_fields.key UDM 필드가 sourceProperties_contextUris_relatedFindingUri_url로 설정되고 sourceProperties.contextUris.relatedFindingUri.url 로그 필드가 metadata.url_back_to_product UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain 또는 Malware: Cryptomining Bad IP와 일치하는 경우 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.virustotalIndicatorQueryUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] category 로그 필드 값이 Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed와 일치하는 경우 sourceProperties.contextUris.workspacesUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.workspacesUri.url 로그 필드가 security_result.detection_fields.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.public_tag_name 로그 필드가 intermediary.labels.key UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.description 로그 필드가 intermediary.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] category 로그 필드 값이 Malware: Bad IP와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority sourceProperties.detectionPriority 로그 필드 값이 HIGH와 일치하는 경우 security_result.priority UDM 필드가 HIGH_PRIORITY로 설정됩니다.

    그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 MEDIUM과 일치하는 경우 security_result.priority UDM 필드가 MEDIUM_PRIORITY로 설정됩니다.

    그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 LOW와 일치하는 경우 security_result.priority UDM 필드가 LOW_PRIORITY로 설정됩니다.
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary category 로그 필드 값이 Exfiltration: BigQuery Exfiltration와 일치하는 경우 sourceProperties.properties.vpcViolation.violationReason 로그 필드가 security_result.summary UDM 필드에 매핑됩니다.
    name security_result.url_back_to_product
    database.query src.process.command_line category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 database.query 로그 필드가 src.process.command_line UDM 필드에 매핑됩니다.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.folders.resourceFolderDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.parentDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.parentName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.projectDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    parent src.resource_ancestors.name category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 parent 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑되고 src.resource_ancestors.resource_type UDM 필드가 TABLE로 설정됩니다.
    resourceName src.resource_ancestors.name category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization와 일치하는 경우 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다.
    resource.folders.resourceFolder src.resource_ancestors.name category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.folders.resourceFolder 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다.
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.sourceId.projectNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다.
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 sourceProperties.sourceId.organizationNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다.
    resource.type src.resource_ancestors.resource_subtype category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 database.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 src.resource.attribute.labels.key UDM 필드가 grantees로 설정되고 database.grantees 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.displayName principal.hostname resource.type 로그 필드 값이 (?i)google.compute.Instance or google.container.Cluster 정규 표현식 패턴과 일치하면 resource.displayName 로그 필드가 principal.hostname UDM 필드에 매핑됩니다.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.datasetId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.projectId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.resourceUri 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization와 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.backupId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction과 일치하는 경우 src.resource.attribute.labels.key/value 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resourceName src.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.sources.name 로그 필드가 src.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL로 설정됩니다.
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.cloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL로 설정됩니다.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.sources.name 로그 필드가 src.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.tableId 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다.
    access.serviceName target.application category 로그 필드 값이 Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography 또는 Persistence: IAM Anomalous Grant와 일치하는 경우 access.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다.
    sourceProperties.properties.serviceName target.application category 로그 필드 값이 Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed와 일치하는 경우 sourceProperties.properties.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다.
    sourceProperties.properties.domainName target.domain.name category 로그 필드 값이 Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed과 일치하는 경우 sourceProperties.properties.domainName 로그 필드가 target.domain.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.domains.0 target.domain.name category 로그 필드 값이 Malware: Bad Domain, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.domains.0 로그 필드가 target.domain.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name category 로그 필드 값이 Credential Access: Privileged Group Opened To Public와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin 로그 필드가 target.group.attribute.permissions.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.permissions 로그 필드가 target.group.attribute.permissions.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name category 로그 필드 값이 Credential Access: External Member Added To Privileged Group와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name category 로그 필드 값이 Credential Access: Privileged Group Opened To Public와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name category 로그 필드 값이 Persistence: IAM Anomalous Grant와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name category 로그 필드 값이 Credential Access: External Member Added To Privileged Group와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다.
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name category 로그 필드 값이 Credential Access: Privileged Group Opened To Public와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다.
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다.
    sourceProperties.properties.ipConnection.destIp target.ip category 로그 필드 값이 Malware: Bad IP, Malware: Cryptomining Bad IP 또는 Malware: Outgoing DoS과 일치하는 경우 sourceProperties.properties.ipConnection.destIp 로그 필드가 target.ip UDM 필드에 매핑됩니다.
    access.methodName target.labels [access_methodName](지원 중단됨)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated](지원 중단됨)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents](지원 중단됨)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize](지원 중단됨)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed](지원 중단됨)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name](지원 중단됨)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val](지원 중단됨)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated](지원 중단됨)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents](지원 중단됨)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize](지원 중단됨)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed](지원 중단됨)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents](지원 중단됨)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize](지원 중단됨)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed](지원 중단됨)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels [sourceProperties_properties_methodName](지원 중단됨) category 로그 필드 값이 Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed과 일치하는 경우 sourceProperties.properties.methodName 로그 필드가 target.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.methodName additional.fields [sourceProperties_properties_methodName] category 로그 필드 값이 Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed과 일치하는 경우 sourceProperties.properties.methodName 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다.
    sourceProperties.properties.network.location target.location.name category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.network.location 로그 필드가 target.location.name UDM 필드에 매핑됩니다.
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port category 로그 필드 값이 Malware: Bad IP 또는 Malware: Outgoing DoS과 일치하는 경우 sourceProperties.properties.ipConnection.destPort 로그 필드가 target.port UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.query 로그 필드가 target.process.command_line UDM 필드에 매핑됩니다.
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] containers.labels.name 로그 필드가 target.resource_ancestors.attribute.labels.key UDM 필드에 매핑되고 containers.labels.value 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.destVpc.projectId 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP과 일치하는 경우 sourceProperties.properties.destVpc.subnetworkName 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] category 로그 필드 값이 Malware: Bad IP 또는 Malware: Cryptomining Bad IP과 일치하는 경우 sourceProperties.properties.network.subnetworkName 로그 필드가 target.resource_ancestors.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] category 로그 필드 값이 Malware: Bad IP 또는 Malware: Cryptomining Bad IP과 일치하는 경우 sourceProperties.properties.network.subnetworkId 로그 필드가 target.resource_ancestors.value UDM 필드에 매핑됩니다.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.vpcName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    resourceName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.projectId target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    parent target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    containers.name target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name category 로그 필드 값이 Credential Access: External Member Added To Privileged Group와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name category 로그 필드 값이 Credential Access: Privileged Group Opened To Public와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    kubernetes.pods.containers.name target.resource_ancestors.name category 로그 필드 값이 Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 sourceProperties.properties.gceInstanceId 로그 필드가 target.resource_ancestors.product_object_id UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    containers.imageId target.resource_ancestors.product_object_id category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.zone 로그 필드가 target.resource.attribute.cloud.availability_zone UDM 필드에 매핑됩니다.
    canonicalName metadata.product_log_id finding_id는 Grok 패턴을 사용하는 canonicalName 로그 필드에서 추출됩니다.

    만약 finding_id 로그 필드 값이 비어있지 않으면 finding_id 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다.
    canonicalName src.resource.attribute.labels.key/value [finding_id] finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 src.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 target.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration와 일치하는 경우 target.resource.attribute.labels.key UDM 필드가 exportScope로 설정되고 sourceProperties.properties.exportToGcs.exportScope 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.objectName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive과 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.originalUri 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script과 일치하는 경우 sourceProperties.properties.metadataKeyOperation 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다.
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction과 일치하는 경우 exfiltration.targets.components 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다.
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration와 일치하는 경우 sourceProperties.properties.exportToGcs.bucketAccess 로그 필드가 target.resource.attribute.permissions.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.name target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    resourceName target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.attempts.vmName target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.instanceDetails target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    exfiltration.targets.name target.resource.name category 로그 필드 값이 Defense Evasion: Modify VPC Service Control과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    sourceProperties.properties.instanceId target.resource.product_object_id category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.instanceId 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다.
    kubernetes.pods.containers.imageId target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype category 로그 필드가 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.resource_subtype UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Credential Access: External Member Added To Privileged Group과 일치하는 경우 target.resource.resource_subtype UDM 필드가 Privileged Group으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 target.resource.resource_subtype UDM 필드가 BigQuery로 설정됩니다.
    target.resource.resource_type sourceProperties.properties.extractionAttempt.destinations.collectionType 로그 필드 값이 BUCKET 정규 표현식과 일치하면 target.resource.resource_type UDM 필드가 STORAGE_BUCKET으로 설정됩니다.

    그 밖의 경우 category 로그 필드 값이 Brute Force: SSH와 일치하면 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그 밖의 경우 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하면 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그 밖의 경우 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하면 target.resource.resource_type UDM 필드가 TABLE로 설정됩니다.
    sourceProperties.properties.extractionAttempt.jobLink target.url category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 target.url UDM 필드에 매핑됩니다.

    category 로그 필드 값이 Exfiltration: BigQuery Data Extraction과 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 target.url UDM 필드에 매핑됩니다.
    sourceProperties.properties.exportToGcs.gcsUri target.url category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration와 일치하는 경우 sourceProperties.properties.exportToGcs.gcsUri 로그 필드가 target.url UDM 필드에 매핑됩니다.
    sourceProperties.properties.requestUrl target.url category 로그 필드 값이 Initial Access: Log4j Compromise Attempt와 일치하는 경우 sourceProperties.properties.requestUrl 로그 필드가 target.url UDM 필드에 매핑됩니다.
    sourceProperties.properties.policyLink target.url category 로그 필드 값이 Defense Evasion: Modify VPC Service Control와 일치하는 경우 sourceProperties.properties.policyLink 로그 필드가 target.url UDM 필드에 매핑됩니다.
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] category 로그 필드 값이 Persistence: New Geography와 일치하는 경우 sourceProperties.properties.anomalousLocation.notSeenInLast 로그 필드가 target.user.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.properties.attempts.username target.user.userid category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.attempts.username 로그 필드가 target.user.userid UDM 필드에 매핑됩니다.

    category 로그 필드 값이 Initial Access: Suspicious Login Blocked와 일치하는 경우 userid 로그 필드가 target.user.userid UDM 필드에 매핑됩니다.
    sourceProperties.properties.principalEmail target.user.userid category 로그 필드 값이 Initial Access: Suspicious Login Blocked와 일치하는 경우 userid 로그 필드가 target.user.userid UDM 필드에 매핑됩니다.
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels [Environment_Variables_name](지원 중단됨)
    sourceProperties.Environment_Variables additional.fields [Environment_Variables_name]
    target.labels [Environment_Variables_val](지원 중단됨)
    additional.fields [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels [sourceProperties_Process_Creation_Timestamp_nanos](지원 중단됨)
    sourceProperties.Process_Creation_Timestamp.nanos additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels [sourceProperties_Process_Creation_Timestamp_seconds](지원 중단됨)
    sourceProperties.Process_Creation_Timestamp.seconds additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name category 로그 필드 값이 Added Binary Executed 또는 Added Library Loaded와 일치하는 경우 sourceProperties.VM_Instance_Name 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name category 로그 필드 값이 Increasing Deny Ratio, Allowed Traffic Spike 또는 Application DDoS Attack Attempt과 일치하는 경우 sourceProperties.Backend_Service 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type category 로그 필드 값이 Increasing Deny Ratio, Allowed Traffic Spike, 또는 Application DDoS Attack Attempt와 일치하는 경우 target.resource.resource_type UDM 필드가 BACKEND_SERVICE로 설정됩니다.

    category 로그 필드 값이 Configurable Bad Domain과 일치하는 경우 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.
    is_alert state 로그 필드 값이 ACTIVE이고 mute_is_not_present 필드 값이 true와 일치하지 않는 경우(mute 로그 필드 값이 UNMUTED 또는 mute 로그 필드 값이 UNDEFINED), is_alert UDM 필드가 true로 설정되고 그 밖의 경우 is_alert UDM 필드가 false로 설정됩니다.
    is_significant state 로그 필드 값이 ACTIVE이고 mute_is_not_present 필드 값이 true와 일치하지 않는 경우(mute 로그 필드 값이 UNMUTED 또는 mute 로그 필드 값이 UNDEFINED), is_significant UDM 필드가 true로 설정되고 그 밖의 경우 is_significant UDM 필드가 false로 설정됩니다.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok : sourceProperties.properties.sensitiveRoleGrant.principalEmail 로그 필드에서 user_id가 추출된 후 user_id 필드가 principal.user.userid UDM 필드에 매핑됩니다.
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok : sourceProperties.properties.customRoleSensitivePermissions.principalEmail 로그 필드에서 user_id가 추출된 후 user_id 필드가 principal.user.userid UDM 필드에 매핑됩니다.
    resourceName principal.asset.location.name parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name, region, zone_suffix, asset_prod_obj_id가 추출된 후 region 로그 필드가 principal.asset.location.name UDM 필드에 매핑됩니다.
    resourceName principal.asset.product_object_id parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name, region, zone_suffix, asset_prod_obj_id가 추출된 후 asset_prod_obj_id 로그 필드가 principal.asset.product_object_id UDM 필드에 매핑됩니다.
    resourceName principal.asset.attribute.cloud.availability_zone parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name, region, zone_suffix, asset_prod_obj_id가 추출된 후 zone_suffix 로그 필드가 principal.asset.attribute.cloud.availability_zone UDM 필드에 매핑됩니다.
    resourceName principal.asset.attribute.labels[project_name] parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name, region, zone_suffix, asset_prod_obj_id가 추출된 후 project_name 로그 필드가 principal.asset.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.methodName 로그 필드가 target.labels UDM 필드에 매핑됩니다.
    additional.fields[failedActions_methodName] sourceProperties.properties.failedActions.methodName category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.methodName 로그 필드가 additional.fields UDM 필드에 매핑됩니다.
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.serviceName 로그 필드가 target.labels UDM 필드에 매핑됩니다.
    additional.fields[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.serviceName 로그 필드가 additional.fields UDM 필드에 매핑됩니다.
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.attemptTimes 로그 필드가 target.labels UDM 필드에 매핑됩니다.
    additional.fields[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.attemptTimes 로그 필드가 additional.fields UDM 필드에 매핑됩니다.
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하는 경우 sourceProperties.properties.failedActions.lastOccurredTime 로그 필드가 target.labels UDM 필드에 매핑됩니다.
    additional.fields[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions와 일치하면 sourceProperties.properties.failedActions.lastOccurredTime 로그 필드가 additional.fields UDM 필드에 매핑됩니다.

    필드 매핑 참조: 이벤트 식별자에서 이벤트 유형으로

    이벤트 식별자 이벤트 유형 보안 카테고리
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED EXPLOIT
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED EXPLOIT
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    다음 표에는 Security Command Center - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION 발견 항목 클래스의 UDM 이벤트 유형과 UDM 필드 매핑이 포함되어 있습니다.

    VULNERABILITY 카테고리에서 UDM 이벤트 유형

    다음 표에는 VULNERABILITY 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형 보안 카테고리
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK EXPLOIT
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED
    SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS

    MISCONFIGURATION 카테고리에서 UDM 이벤트 유형으로

    다음 표에는 MISCONFIGURATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    OBSERVATION 카테고리에서 UDM 이벤트 유형으로

    다음 표에는 OBSERVATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형
    지속성: 프로젝트 SSH 키 추가 SETTING_MODIFICATION
    지속성: 민감한 역할 추가 RESOURCE_PERMISSIONS_CHANGE
    영향: GPU 인스턴스 생성 USER_RESOURCE_CREATION
    영향: 많은 인스턴스 생성 USER_RESOURCE_CREATION

    ERROR 카테고리에서 UDM 이벤트 유형으로

    다음 표에는 ERROR 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    UNSPECIFIED 카테고리에서 UDM 이벤트 유형으로

    다음 표에는 UNSPECIFIED 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형 보안 카테고리
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    POSTURE_VIOLATION 카테고리에서 UDM 이벤트 유형으로

    다음 표에는 POSTURE_VIOLATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.

    이벤트 식별자 이벤트 유형
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    필드 매핑 참조: VULNERABILITY

    다음 표에는 VULNERABILITY 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑 논리
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [sourceProperties_name]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    category extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name Grok 패턴을 사용하여 resourceName에서 region을 추출하고 principal.asset.location.name UDM 필드에 매핑했습니다.
    resourceName principal.asset.product_object_id Grok 패턴을 사용하여 resourceName에서 asset_prod_obj_id을 추출하고 principal.asset.product_object_id UDM 필드에 매핑했습니다.
    resourceName principal.asset.attribute.cloud.availability_zone Grok 패턴을 사용하여 resourceName에서 zone_suffix을 추출하고 principal.asset.attribute.cloud.availability_zone UDM 필드에 매핑했습니다.
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    필드 매핑 참조: MISCONFIGURATION

    다음 표에는 MISCONFIGURATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    필드 매핑 참조: OBSERVATION

    다음 표에는 OBSERVATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [asset_display_name]
    assetId target.asset.asset_id

    필드 매핑 참조: ERROR

    다음 표에는 ERROR 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    필드 매핑 참조: UNSPECIFIED

    다음 표에는 UNSPECIFIED 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    필드 매핑 참조: POSTURE_VIOLATION

    다음 표에는 POSTURE_VIOLATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.

    로그 필드 UDM 매핑 논리
    finding.resourceName target.resource_ancestors.name finding.resourceName 로그 필드 값이 비어 있지 않은 경우 finding.resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    project_name 필드는 Grok 패턴을 사용하여 finding.resourceName 로그 필드에서 추출됩니다.

    project_name 필드 값이 비어 있지 않은 경우 project_name 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    resourceName target.resource_ancestors.name resourceName 로그 필드 값이 비어 있지 않은 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    project_name 필드는 Grok 패턴을 사용하여 resourceName 로그 필드에서 추출됩니다.

    project_name 필드 값 비어 있지 않은 경우 project_name 필드가target.resource_ancestors.name UDM 필드에 매핑됩니다.
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment finding.cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 finding.cloudProvider 로그 필드가 about.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    cloudProvider about.resource.attribute.cloud.environment cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 cloudProvider 로그 필드가 about.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.cloudProvider target.resource.attribute.cloud.environment resource.cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 resource.cloudProvider 로그 필드가 target.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    일반 필드: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

    다음 표에는 SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION 카테고리의 일반 필드와 해당하는 UDM 필드가 나와 있습니다.

    RawLog 필드 UDM 매핑 논리
    compliances.ids about.labels [compliance_ids](지원 중단됨)
    compliances.ids additional.fields [compliance_ids]
    compliances.version about.labels [compliance_version](지원 중단됨)
    compliances.version additional.fields [compliance_version]
    compliances.standard about.labels [compliances_standard](지원 중단됨)
    compliances.standard additional.fields [compliances_standard]
    connections.destinationIp about.labels [connections_destination_ip](지원 중단됨) connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp와 일치하지 않는 경우 connections.destinationIp 로그 필드가 about.labels.value UDM 필드에 매핑됩니다.
    connections.destinationIp additional.fields [connections_destination_ip] connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp와 일치하지 않는 경우 connections.destinationIp 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다.
    connections.destinationPort about.labels [connections_destination_port](지원 중단됨)
    connections.destinationPort additional.fields [connections_destination_port]
    connections.protocol about.labels [connections_protocol](지원 중단됨)
    connections.protocol additional.fields [connections_protocol]
    connections.sourceIp about.labels [connections_source_ip](지원 중단됨)
    connections.sourceIp additional.fields [connections_source_ip]
    connections.sourcePort about.labels [connections_source_port](지원 중단됨)
    connections.sourcePort additional.fields [connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type target.resource_ancestors.resource_type UDM 필드는 CLUSTER으로 설정됩니다.
    about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM 필드는 GOOGLE_CLOUD_PLATFORM으로 설정됩니다.
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](지원 중단됨)
    vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](지원 중단됨)
    vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](지원 중단됨)
    vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](지원 중단됨)
    vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](지원 중단됨)
    vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](지원 중단됨)
    vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](지원 중단됨)
    vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](지원 중단됨)
    vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](지원 중단됨)
    vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](지원 중단됨)
    vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    vulnerability.cve.impact extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]
    vulnerability.cve.exploitationActivity extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id canonicalName 로그 필드 값이 비어 있지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.

    finding_id 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드가 metadata.product_log_id UDM 필드에 매핑됩니다.

    canonicalName로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] message 로그 필드 값이 정규 표현식 sourceProperties.sourceId.*?customerOrganizationNumber와 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 principal.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.projectName principal.resource.name
    principal.user.account_type access.principalSubject 로그 필드 값이 serviceAccount 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 SERVICE_ACCOUNT_TYPE으로 설정됩니다.

    그 밖의 경우 access.principalSubject 로그 필드 값이 user 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 CLOUD_ACCOUNT_TYPE으로 설정됩니다.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name message 로그 필드 값이 contacts.?security 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 security으로 설정됩니다.

    message 로그 필드 값이 contacts.?technical 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 Technical으로 설정됩니다.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state state 로그 필드 값이 ACTIVE와 일치하는 경우 security_result.alert_state UDM 필드가 ALERTING으로 설정됩니다.

    그 밖의 경우 security_result.alert_state UDM 필드가 NOT_ALERTING으로 설정됩니다.
    findingClass, category security_result.catgory_details findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] mute 로그 필드 값이 MUTED 또는 UNMUTED과 일치하는 경우 muteInitiator 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] mute 로그 필드 값이 MUTED 또는 UNMUTED과 일치하는 경우 muteUpdateTimer 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP 또는 Persistence: IAM Anomalous Grant와 일치하는 경우 security_result.detection_fields.key UDM 필드가 sourceProperties_contextUris_relatedFindingUri_url로 설정되고 sourceProperties.contextUris.relatedFindingUri.url 로그 필드가 metadata.url_back_to_product UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain 또는 Malware: Cryptomining Bad IP와 일치하는 경우 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.virustotalIndicatorQueryUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] category 로그 필드 값이 Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed와 일치하는 경우 sourceProperties.contextUris.workspacesUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.workspacesUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다.
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority sourceProperties.detectionPriority 로그 필드 값이 HIGH와 일치하는 경우 security_result.priority UDM 필드가 HIGH_PRIORITY로 설정됩니다.

    그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 MEDIUM과 일치하는 경우 security_result.priority UDM 필드가 MEDIUM_PRIORITY로 설정됩니다.

    그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 LOW와 일치하는 경우 security_result.priority UDM 필드가 LOW_PRIORITY로 설정됩니다.
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 database.query 로그 필드가 src.process.command_line UDM 필드에 매핑됩니다.

    그 밖의 경우 database.query 로그 필드가 target.process.command_line UDM 필드에 매핑됩니다.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.folders.resourceFolderDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.folders.resourceFolderDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.parentDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.parentDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.parentName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.parentName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.projectDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.projectDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.type src.resource_ancestors.resource_subtype category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 database.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant와 일치하는 경우 src.resource.attribute.labels.key UDM 필드가 grantees로 설정되고 database.grantees 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.displayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.display_name 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.type src.resource_ancestors.resource_subtype category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다.
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.displayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.

    그 밖의 경우 resource.display_name 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction과 일치하는 경우 exfiltration.sources.components 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.
    resourceName src.resource.name category 로그 필드 값이 Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 resourceName 로그 필드가 src.resource.name UDM 필드에 매핑됩니다.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application category 로그 필드 값이 Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography 또는 Persistence: IAM Anomalous Grant와 일치하는 경우 access.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다.
    access.methodName target.labels [access_methodName](지원 중단됨)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated](지원 중단됨)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents](지원 중단됨)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize](지원 중단됨)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed](지원 중단됨)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name](지원 중단됨)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val](지원 중단됨)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated](지원 중단됨)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents](지원 중단됨)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize](지원 중단됨)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed](지원 중단됨)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents](지원 중단됨)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize](지원 중단됨)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed](지원 중단됨)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 sourceProperties.properties.zone 로그 필드가 target.resource.attribute.cloud.availability_zone UDM 필드에 매핑됩니다.
    canonicalName metadata.product_log_id finding_id는 Grok 패턴을 사용하는 canonicalName 로그 필드에서 추출됩니다.

    만약 finding_id 로그 필드 값이 비어있지 않으면 finding_id 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다.
    canonicalName src.resource.attribute.labels.key/value [finding_id] finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 src.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 target.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다.

    category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id를 추출합니다.
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction과 일치하는 경우 exfiltration.targets.components 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다.
    resourceName
    exfiltration.targets.name
    target.resource.name category 로그 필드 값이 Brute Force: SSH와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP 또는 Malware: Cryptomining Bad IP와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE으로 설정됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive와 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.

    그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region sourceProperties.Header_Signature.name 로그 필드 값이 RegionCode와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
    sourceProperties.Header_Signature.significantValues.value principal.ip sourceProperties.Header_Signature.name 로그 필드 값이 RemoteHost와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent sourceProperties.Header_Signature.name 로그 필드 값이 UserAgent와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다.
    sourceProperties.Header_Signature.significantValues.value principal.url sourceProperties.Header_Signature.name 로그 필드 값이 RequestUriPath와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.url UDM 필드에 매핑됩니다.
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid category 로그 필드 값이 account_has_leaked_credentials와 일치하는 경우 sourceProperties.compromised_account 로그 필드가 principal.user.userid UDM 필드에 매핑되고 principal.user.account_type UDM 필드는 SERVICE_ACCOUNT_TYPE으로 설정됩니다.
    sourceProperties.project_identifier principal.resource.product_object_id category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.project_identifier 로그 필드가 principal.resource.product_object_id UDM 필드에 매핑됩니다.
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.private_key_identifier 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.action_taken principal.labels [action_taken](지원 중단됨) category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.action_taken 로그 필드가 principal.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.action_taken additional.fields [action_taken] category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.action_taken 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다.
    sourceProperties.finding_type principal.labels [finding_type](지원 중단됨) category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.finding_type 로그 필드가 principal.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.finding_type additional.fields [finding_type] category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.finding_type 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다.
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.url 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다.
    sourceProperties.security_result.summary security_result.summary category 로그 필드 값이 account_has_leaked_credentials와 같으면 sourceProperties.security_result.summary 로그 필드가 security_result.summary UDM 필드에 매핑됩니다.
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] vulnerability.offendingPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] vulnerability.offendingPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] vulnerability.offendingPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] vulnerability.offendingPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] vulnerability.fixedPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] vulnerability.fixedPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] vulnerability.fixedPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] vulnerability.fixedPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] vulnerability.securityBulletin.bulletinId
    security_result.detection_fields[vulnerability_securityBulletin_submissionTime] vulnerability.securityBulletin.submissionTime
    security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] vulnerability.securityBulletin.suggestedUpgradeVersion
    target.location.name resource.location
    additional.fields[resource_service] resource.service
    target.resource_ancestors.attribute.labels[kubernetes_object_kind] kubernetes.objects.kind
    target.resource_ancestors.name kubernetes.objects.name
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] kubernetes.objects.ns
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] kubernetes.objects.group

    다음 단계