Security Command Center 발견 항목 수집
이 문서에서는 Security Command Center를 구성하고 발견 항목을 Google Security Operations로 수집하여 Security Command Center 로그를 수집하는 방법을 설명합니다. 또한 이 문서에는 지원되는 이벤트가 나와 있습니다.
자세한 내용은 Google Security Operations에 데이터 수집 및 Google Security Operations로 Security Command Center 발견 항목 내보내기를 참조하세요. 일반적인 배포는 Security Command Center와 Google Security Operations에 로그를 전송하도록 구성된 Google Security Operations 피드로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.
배포에는 다음 구성요소가 포함됩니다.
Google Cloud: Security Command Center가 설치된 모니터링할 시스템입니다.
Security Command Center Event Threat Detection 발견 항목: 데이터 소스에서 정보를 수집하고 발견 항목을 생성합니다.
Google Security Operations: Security Command Center의 로그를 보관하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 다음 수집 라벨이 있는 Security Command Center 파서에 적용됩니다.
GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION
발견 항목을 Google Security Operations로 전송하도록 Security Command Center 및 Google Cloud 구성
배포의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
Security Command Center 발견 항목 수집을 사용 설정합니다.
지원되는 Event Threat Detection 발견 항목
이 섹션에는 지원되는 Event Threat Detection 발견 항목이 나와 있습니다. Security Command Center Event Threat Detection 규칙 및 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙을 참조하세요.
발견 항목 이름 | 설명 |
---|---|
활성 스캔: RCE에 취약한 Log4j | 지원되는 Log4j 취약점 스캐너에서 시작한 난독화되지 않은 도메인의 DNS 쿼리를 식별하여 활성 Log4j 취약점을 감지합니다. |
무작위 공격: SSH | 호스트에서 SSH의 성공적인 무작위 공격을 감지합니다. |
사용자 인증 정보 액세스: 권한 있는 그룹에 추가된 외부 구성원 | 외부 구성원이 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)에 추가될 때 이를 감지합니다. 새로 추가된 구성원과 동일한 조직의 외부 구성원이 그룹에 아직 추가되지 않은 경우에만 발견 항목이 생성됩니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. |
사용자 인증 정보 액세스: 공개로 설정된 권한이 있는 그룹 | 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)이 일반 대중에 액세스 가능하도록 변경되었을 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. |
사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할 | 외부 구성원이 포함된 Google 그룹에 중요한 역할이 부여될 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. |
방어 회피: VPC 서비스 제어 수정 | 경계에서 제공하는 보호 효과를 저해하는 기존 VPC 서비스 제어 경계의 변경사항을 감지합니다. |
탐색: 민감한 Kubernetes 객체 확인 가능, 미리보기 | 악의적인 행위자가 kubectl auth can-i get 명령어를 사용하여 쿼리할 수 있는 Google Kubernetes Engine(GKE)의 민감한 객체를 확인하려고 시도했습니다. |
탐색: 서비스 계정 자체 조사 | 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되는 Identity and Access Management(IAM) 서비스 계정 사용자 인증 정보 감지. |
삭제: 익명처리 프록시에서 액세스 | Tor IP 주소와 같은 익명 프록시 IP 주소에서 시작된 Google Cloud 서비스 수정 감지. |
유출: BigQuery 데이터 무단 반출 | 다음 시나리오를 감지합니다.
|
유출: BigQuery 데이터 추출 | 다음 시나리오를 감지합니다.
|
유출: Google 드라이브에 대한 BigQuery 데이터 | 다음 시나리오를 감지합니다.
보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 Google Drive 폴더에 저장됩니다. |
유출: Cloud SQL 데이터 무단 반출 | 다음 시나리오를 감지합니다.
|
유출: 외부 조직으로 Cloud SQL 복원 백업 | Cloud SQL 인스턴스 백업이 조직 외부의 인스턴스로 복원될 때 이를 감지합니다. |
유출: Cloud SQL 초과 권한 부여 | Cloud SQL Postgres 사용자 또는 역할에 데이터베이스 또는 스키마의 모든 테이블, 절차, 함수에 대한 모든 권한이 부여된 시점을 감지합니다. |
방어력 손상: 강력한 인증이 사용 중지됨 | 조직의 2단계 인증이 사용 중지되었습니다. |
방어력 손상: 2단계 인증이 사용 중지됨 | 사용자가 2단계 인증을 사용 중지했습니다. |
초기 액세스: 계정 사용 중지됨 계정 도용 | 의심스러운 활동으로 인해 사용자의 계정이 정지되었습니다. |
초기 액세스: 사용 중지됨 비밀번호 유출 | 비밀번호 유출이 감지되어 사용자의 계정이 사용 중지되었습니다. |
초기 액세스: 정부 기반 공격 | 정부 지원 해킹 공격자가 사용자 계정이나 컴퓨터를 도용하려고 했을 수 있습니다. |
초기 액세스: Log4j 손상 시도 | 헤더나 URL 매개변수 내에서 Java 이름 지정과 디렉터리 인터페이스(JNDI) 조회를 감지합니다. 이러한 조회는 Log4Shell 악용 시도를 나타낼 수 있습니다. 이러한 발견 항목은 취약점이나 손상이 아닌 감지나 악용 시도만 나타내므로 심각도가 낮습니다. |
초기 액세스: 의심스러운 로그인이 차단됨 | 사용자의 계정에 대한 의심스러운 로그인이 감지되어 차단되었습니다. |
Log4j 멀웨어: 잘못된 도메인 | Log4j 공격에 사용되는 알려진 도메인에 대한 연결이나 조회를 기반으로 Log4j 악용 트래픽을 감지합니다. |
Log4j 멀웨어: 잘못된 IP | Log4j 공격에 사용되는 알려진 IP 주소에 대한 연결을 기반으로 Log4j 악용 트래픽을 감지합니다. |
멀웨어: 불량 도메인 | 알려진 불량 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다. |
멀웨어: 불량 IP | 알려진 불량 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다. |
멀웨어: 암호화폐 채굴 불량 도메인 | 알려진 암호화폐 채굴 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다. |
멀웨어: 암호화폐 채굴 불량 IP | 알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다. |
발신 DoS | 발신 서비스 거부 트래픽을 감지합니다. |
지속성: Compute Engine 관리자가 SSH 키를 추가함 | 설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 SSH 키 값에 대한 수정 사항 감지. |
지속성: Compute Engine 관리자가 시작 스크립트를 추가함 | 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항 감지. |
지속성: IAM 비정상적인 권한 부여 | IAM 사용자 및 조직 구성원이 아닌 서비스 계정에 부여되는 권한을 감지합니다. 이 감지기는 조직의 기존 IAM 정책을 컨텍스트로 사용합니다. 외부 구성원에게 민감한 IAM을 부여하고 유사한 기존 IAM 정책이 3개 미만 있으면 이 감지기는 발견 항목을 생성합니다. |
지속성: 새 API 메서드, 미리보기 | IAM 서비스 계정을 통한 Google Cloud 서비스 비정상적인 사용 감지. |
지속성: 새로운 지역 | 요청 IP 주소의 위치정보를 토대로 비정상적인 위치에서 Google Cloud에 액세스하는 IAM 사용자 및 서비스 계정 감지. |
지속성: 새로운 사용자 에이전트 | 비정상적이거나 의심스러운 사용자 에이전트에서 Google Cloud에 액세스하는 IAM 서비스 계정 감지. |
지속성: SSO 사용 설정 전환 | 관리자 계정의 SSO(싱글 사인온) 사용 설정이 사용 중지되었습니다. |
지속성: SSO 설정이 변경됨 | 관리자 계정의 SSO 설정이 변경되었습니다. |
권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경사항, 미리보기 | 악의적인 행위자가 권한 에스컬레이션을 위해 PUT 또는 PATCH 요청을 사용하여 cluster-admin ClusterRole 및 ClusterRoleBinding 객체를 수정하려고 했습니다. |
권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기, 미리보기 | 악의적인 행위자가 Kubernetes 마스터 인증서 서명 요청(CSR)을 만들어 클러스터 관리자 액세스 권한을 부여했습니다. |
권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기, 미리보기 | 악의적인 행위자가 권한을 에스컬레이션하기 위해 새 cluster-admin RoleBinding 또는 ClusterRoleBinding 객체를 만들려고 했습니다. |
권한 에스컬레이션: 손상된 부트스트랩 사용자 인증 정보로 Kubernetes CSR 가져오기, 미리보기 | 악의적인 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 kubectl 명령어로 인증서 서명 요청(CSR)을 쿼리했습니다. |
권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행, 미리보기 | 악의적인 행위자가 권한이 있는 컨테이너 또는 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었습니다. 권한이 있는 컨테이너에서 권한이 있는 필드가 true로 설정되어 있습니다. 권한 에스컬레이션 기능이 있는 컨테이너에서 allowPrivilegeEscalation 필드가 true로 설정되어 있습니다. |
초기 액세스: 휴면 서비스 계정 키 생성됨 | 휴면 사용자 관리형 서비스 계정의 키가 생성된 이벤트를 감지합니다. 이 경우 서비스 계정은 180일 이상 비활성 상태인 경우 휴면으로 간주됩니다. |
프로세스 트리 | 감지기는 실행 중인 모든 프로세스의 프로세스 트리를 확인합니다. 프로세스가 셸 바이너리인 경우, 감지기가 상위 프로세스를 확인합니다. 상위 프로세스가 셸 프로세스를 생성하면 안 되는 바이너리인 경우 감지기에서 발견 항목을 트리거합니다. |
예기치 않은 하위 셸 | 감지기는 실행 중인 모든 프로세스의 프로세스 트리를 확인합니다. 프로세스가 셸 바이너리인 경우, 감지기가 상위 프로세스를 확인합니다. 상위 프로세스가 셸 프로세스를 생성하면 안 되는 바이너리인 경우 감지기에서 발견 항목을 트리거합니다. |
실행: 추가된 악성 바이너리 실행됨 | 감지기는 원본 컨테이너 이미지에 포함되지 않았고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다. |
실행: 수정된 악성 바이너리 실행됨 | 감지기는 컨테이너 이미지에 원래 포함되었지만 런타임 중에 수정되었고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다. |
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 다단계 서비스 계정 위임 | 관리 활동에 비정상적인 다단계 위임된 요청이 발견되면 감지합니다. |
사용된 breakglass 계정: break_glass_account | 긴급 액세스(breakglass) 계정 사용량을 감지합니다. |
구성 가능한 잘못된 도메인: APT29_Domains | 지정된 도메인 이름에 대한 연결을 감지합니다. |
예상치 못한 역할 부여: 금지된 역할 | 지정된 역할이 사용자에게 할당되는 경우를 감지합니다. |
구성 가능한 잘못된 IP | 지정된 IP 주소에 대한 연결을 감지합니다. |
예상치 못한 Compute Engine 인스턴스 유형 | 지정된 인스턴스 유형 또는 구성과 일치하지 않는 Compute Engine 인스턴스 생성을 감지합니다. |
예상치 못한 Compute Engine 소스 이미지 | 지정된 목록과 일치하지 않는 이미지 또는 이미지 계열이 있는 Compute Engine 인스턴스의 생성을 감지합니다. |
예상치 못한 Compute Engine 리전 | 지정된 목록에 없는 리전에서 Compute Engine 인스턴스 생성을 감지합니다. |
금지된 권한이 있는 커스텀 역할 | 지정된 IAM 권한이 있는 커스텀 역할이 주 구성원에게 부여되었는지 감지합니다. |
예상치 못한 Cloud API 호출 | 지정된 주 구성원이 지정된 리소스에 대해 지정된 메서드를 호출할 때 이를 감지합니다. 발견 항목은 단일 로그 항목에서 모든 정규 표현식이 일치할 때만 생성됩니다. |
지원되는 GCP_SECURITYCENTER_ERROR 발견 항목
필드 매핑 참조: ERROR 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
VPC_SC_RESTRICTION | Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다. |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center가 Logging에 발견 항목을 전송할 수 없습니다. |
API_DISABLED | 프로젝트에 필수 API가 중지되었습니다. 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다. |
KTD_IMAGE_PULL_FAILURE | Container Registry 이미지 호스트인 gcr.io에서 필요한 컨테이너 이미지를 가져오거나 다운로드할 수 없으므로 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 이 이미지는 Container Threat Detection에 필요한 Container Threat Detection DaemonSet를 배포하는 데 필요합니다. |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러가 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체 배포를 차단합니다.
Google Cloud 콘솔에서 발견 항목 세부정보에 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다. |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection이 감지 계측을 사용 설정, 업그레이드 또는 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다. |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다. |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다. |
지원되는 GCP_SECURITYCENTER_OBSERVATION 발견 항목
필드 매핑 참조: OBSERVATION 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
지속성: 프로젝트 SSH 키 추가 | 10일을 초과하는 프로젝트에 대해 프로젝트 수준의 SSH 키가 프로젝트에 생성되었습니다. |
지속성: 민감한 역할 추가 | 10일을 초과하는 민감한 또는 권한이 높은 조직 수준의 IAM 역할이 조직에서 부여되었습니다. |
지원되는 GCP_SECURITYCENTER_UNSPECIFIED 발견 항목
필드 매핑 참조: UNSPECIFIED 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
OPEN_FIREWALL | 방화벽은 공개 액세스가 가능하도록 구성되어 있습니다. |
지원되는 GCP_SECURITYCENTER_VULNERABILITY 발견 항목
필드 매핑 참조: VULNERABILITY 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
DISK_CSEK_DISABLED | 이 VM의 디스크는 고객 제공 암호화 키(CSEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 특수 사례 감지기를 참조하세요. |
ALPHA_CLUSTER_ENABLED | 알파 클러스터 기능이 GKE 클러스터에 대해 사용 설정됩니다. |
AUTO_REPAIR_DISABLED | 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 중지되어 있습니다. |
AUTO_UPGRADE_DISABLED | 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 중지되어 있습니다. |
CLUSTER_SHIELDED_NODES_DISABLED | 보안 GKE 노드가 클러스터에 대해 사용 설정되지 않습니다. |
COS_NOT_USED | Compute Engine VM이 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용하지 않습니다. |
INTEGRITY_MONITORING_DISABLED | 무결성 모니터링이 GKE 클러스터에 대해 중지되었습니다. |
IP_ALIAS_DISABLED | 별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다. |
LEGACY_METADATA_ENABLED | 기존 메타데이터가 GKE 클러스터에서 사용 설정됩니다. |
RELEASE_CHANNEL_DISABLED | GKE 클러스터가 출시 채널에 구독되지 않습니다. |
DATAPROC_IMAGE_OUTDATED | Dataproc 클러스터가 Apache Log4j 2 유틸리티의 보안 취약점(CVE-2021-44228 및 CVE-2021-45046)의 영향을 받는 Dataproc 이미지 버전을 사용하여 생성되었습니다. |
PUBLIC_DATASET | 데이터 세트는 공개 액세스가 가능하도록 구성되어 있습니다. |
DNSSEC_DISABLED | Cloud DNS 영역에서 DNSSEC가 사용 중지됩니다. |
RSASHA1_FOR_SIGNING | RSASHA1은 Cloud DNS 영역의 키 서명에 사용됩니다. |
REDIS_ROLE_USED_ON_ORG | Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다. |
KMS_PUBLIC_KEY | Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다. |
SQL_CONTAINED_DATABASE_AUTHENTICATION | SQL Server용 Cloud SQL 인스턴스의 contained database authentication 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_CROSS_DB_OWNERSHIP_CHAINING | SQL Server용 Cloud SQL 인스턴스의 cross_db_ownership_chaining 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_EXTERNAL_SCRIPTS_ENABLED | SQL Server용 Cloud SQL 인스턴스의 external scripts enabled 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOCAL_INFILE | MySQL용 Cloud SQL 인스턴스의 local_infile 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_ERROR_VERBOSITY | PostgreSQL용 Cloud SQL 인스턴스의 log_error_verbosity 데이터베이스 플래그가 default 또는 더 엄격한 값으로 설정되지 않았습니다. |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_min_duration_statement 데이터베이스 플래그가 '-1'로 설정되지 않았습니다. |
SQL_LOG_MIN_ERROR_STATEMENT | PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그가 적절하게 설정되지 않았습니다. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그에 대한 심각도 수준이 적절하지 않습니다. |
SQL_LOG_MIN_MESSAGES | PostgreSQL용 Cloud SQL 인스턴스의 log_min_messages 데이터베이스 플래그가 warning으로 설정되지 않았습니다. |
SQL_LOG_EXECUTOR_STATS_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_executor_status 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_HOSTNAME_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_hostname 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_PARSER_STATS_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_parser_stats 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_PLANNER_STATS_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_planner_stats 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_STATEMENT_STATS_ENABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_statement_stats 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_TEMP_FILES | PostgreSQL용 Cloud SQL 인스턴스의 log_temp_files 데이터베이스 플래그가 '0'으로 설정되지 않았습니다. |
SQL_REMOTE_ACCESS_ENABLED | SQL Server용 Cloud SQL 인스턴스의 remote access 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_SKIP_SHOW_DATABASE_DISABLED | MySQL용 Cloud SQL 인스턴스의skip_show_database 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_TRACE_FLAG_3625 | SQL Server용 Cloud SQL 인스턴스의 3625(trace 플래그) 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_USER_CONNECTIONS_CONFIGURED | SQL Server용 Cloud SQL 인스턴스의 user connections 데이터베이스 플래그가 구성되었습니다. |
SQL_USER_OPTIONS_CONFIGURED | SQL Server용 Cloud SQL 인스턴스의 user options 데이터베이스 플래그가 구성되었습니다. |
SQL_WEAK_ROOT_PASSWORD | Cloud SQL 데이터베이스에 루트 계정에 대해 취약한 비밀번호가 구성되어 있습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
PUBLIC_LOG_BUCKET | 로그 싱크로 사용되는 스토리지 버킷에 공개적으로 액세스할 수 있습니다. |
ACCESSIBLE_GIT_REPOSITORY | GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다. |
ACCESSIBLE_SVN_REPOSITORY | SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다. |
CACHEABLE_PASSWORD_INPUT | 웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다. |
CLEAR_TEXT_PASSWORD | 비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다. |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | 교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 서픽스만 검사합니다. 이 발견 항목을 해결하려면 Access-Control-Allow-Origin 응답 헤더에 반영되기 전에 예상 루트 도메인이 'Origin' 헤더 값에 속하는지 검증하세요. 하위 도메인 와일드 카드의 경우 루트 도메인 앞에 마침표를 추가합니다(예: .endsWith("".google.com"")). |
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | 교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 프리픽스만 검증합니다. 이 발견 항목을 해결하려면 예상 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영하기 전의 Origin 헤더 값과 완전히 일치하는지 검증하세요(예: .equals("".google.com"")). |
INVALID_CONTENT_TYPE | 리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 X-Content-Type-Options HTTP 헤더를 올바른 값으로 설정합니다. |
INVALID_HEADER | 보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. |
MISMATCHING_SECURITY_HEADER_VALUES | 보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. |
MISSPELLED_SECURITY_HEADER_NAME | 보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. |
MIXED_CONTENT | 리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다. |
OUTDATED_LIBRARY | 알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다. |
SERVER_SIDE_REQUEST_FORGERY | 서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다. |
SESSION_ID_LEAK | 교차 도메인 요청을 수행할 때 웹 애플리케이션은 Referer 요청 헤더에 사용자의 세션 식별자를 포함합니다. 이 취약점은 수신 도메인에 세션 식별자에 대한 액세스 권한을 부여하므로 사용자를 가장하거나 고유하게 식별하는 데 사용될 수 있습니다. |
SQL_INJECTION | 잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 매개변수화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다. |
STRUTS_INSECURE_DESERIALIZATION | 취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다. |
XSS | 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. |
XSS_ANGULAR_CALLBACK | 사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. |
XSS_ERROR | 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. |
XXE_REFLECTED_FILE_LEAKAGE | XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요. |
BASIC_AUTHENTICATION_ENABLED | Kubernetes 클러스터에서 IAM 또는 클라이언트 인증서 인증을 사용 설정해야 합니다. |
CLIENT_CERT_AUTHENTICATION_DISABLED | 클라이언트 인증서를 사용 설정해 Kubernetes 클러스터를 만들어야 합니다. |
LABELS_NOT_USED | 라벨을 사용하면 결제 정보를 분석할 수 있습니다. |
PUBLIC_STORAGE_OBJECT | 스토리지 객체 ACL이 allUsers에 대한 액세스 권한을 부여하면 안 됩니다. |
SQL_BROAD_ROOT_LOGIN | SQL 데이터베이스에 대한 루트 액세스 권한은 허용 목록의 신뢰할 수 있는 IP로 제한해야 합니다. |
WEAK_CREDENTIALS | 이 감지기는 ncrack 무작위 공격 방법을 사용하여 취약한 사용자 인증 정보를 점검합니다.
지원되는 서비스: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
ELASTICSEARCH_API_EXPOSED | Elasticsearch API를 사용하면 호출자가 임의의 쿼리를 수행하고 스크립트를 작성 및 실행하고 서비스에 문서를 추가할 수 있습니다. |
EXPOSED_GRAFANA_ENDPOINT | Grafana 8.0.0~8.3.0에서는 디렉터리 순회 취약점이 있는 엔드포인트에 사용자가 인증 없이 액세스할 수 있어 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있습니다. 자세한 내용은 CVE-2021-43798을 참조하세요. |
EXPOSED_METABASE | 오픈소스 데이터 분석 플랫폼인 Metabase의 x.40.0~x.40.4 버전에는 커스텀 GeoJSON 맵 지원과 환경 변수를 비롯한 잠재적 로컬 파일 포함에 대한 취약점이 있습니다. URL이 로드 전에 검증되지 않았습니다. 자세한 내용은 CVE-2021-41277을 참조하세요. |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | 이 감지기는 Spring Boot 애플리케이션의 민감한 액추에이터 엔드포인트가 노출되었는지 여부를 확인합니다. /heapdump와 같은 일부 기본 엔드포인트에서 민감한 정보가 노출될 수 있습니다. /env와 같은 다른 엔드포인트는 원격 코드 실행으로 이어질 수 있습니다. 현재는 /heapdump만 확인됩니다. |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | 이 감지기는 Hadoop 클러스터의 계산 및 스토리지 리소스를 제어하는 Hadoop Yarn ResourceManager API가 노출되어 인증되지 않은 코드 실행이 허용되는지 확인합니다. |
JAVA_JMX_RMI_EXPOSED | Java 관리 확장 프로그램(JMX)을 사용하면 Java 애플리케이션을 원격으로 모니터링하고 진단할 수 있습니다. 보호되지 않는 원격 메서드 호출 엔드포인트로 JMX를 실행하면 모든 원격 사용자가 javax.management.loading.MLet MBean을 만들고 이를 사용하여 임의 URL에서 새로운 MBean을 만들 수 있습니다. |
JUPYTER_NOTEBOOK_EXPOSED_UI | 이 감지기는 인증되지 않은 Jupyter 노트북이 노출되었는지 여부를 확인합니다. Jupyter는 호스트 머신에서 기본적으로 원격 코드 실행을 허용합니다. 인증되지 않은 Jupyter 노트북으로 인해 VM 호스팅이 원격 코드 실행 위험에 처할 수 있습니다. |
KUBERNETES_API_EXPOSED | Kubernetes API가 노출되어 인증되지 않은 호출자가 액세스할 수 있습니다. 이렇게 하면 Kubernetes 클러스터에서 임의 코드를 실행할 수 있습니다. |
UNFINISHED_WORDPRESS_INSTALLATION | 이 감지기는 WordPress 설치가 완료되었는지 여부를 확인합니다. 완료되지 않은 WordPress 설치는 /wp-admin/install.php 페이지를 노출시킵니다. 공격자가 이를 이용해서 관리 암호를 설정하고 시스템을 손상시킬 수 있습니다. |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | 이 감지기는 /view/all/newJob 엔드포인트에 익명 방문자로 프로브 핑을 전송하여 인증되지 않은 Jenkins 인스턴스를 확인합니다. 인증된 Jenkins 인스턴스는 createItem 형식을 보여줍니다. 이 형식을 사용하면 원격 코드 실행으로 이어질 수 있는 임의 작업을 만들 수 있습니다. |
APACHE_HTTPD_RCE | 공격자가 경로 순회 공격을 사용하여 예상 문서 루트 외부에 있는 파일에 URL을 매핑하고 CGI 스크립트와 같은 해석된 파일의 소스를 확인할 수 있는 결함이 Apache HTTP 서버 2.4.49에서 발견되었습니다. 이 문제는 실제로 악용되고 있는 것으로 알려져 있습니다. 이 문제는 Apache 2.4.49 및 2.4.50에 영향을 주지만 이전 버전에 영향을 주지 않습니다. 이 취약점에 대한 자세한 내용은 다음을 참조하세요. |
APACHE_HTTPD_SSRF | 공격자가 선택한 원본 서버로 요청을 전달하게 mod_proxy를 만드는 Apache 웹 서버에 대한 URI를 공격자가 조작할 수 있습니다. 이 문제는 Apache HTTP 서버 2.4.48 이하에 영향을 줍니다. 이 취약점에 대한 자세한 내용은 다음을 참조하세요. |
CONSUL_RCE | Consul 인스턴스는 true로 설정된 -enable-script-checks로 구성되고 Consul HTTP API가 보호되지 않고 네트워크를 통해 액세스할 수 있기 때문에 공격자가 Consul 서버에서 임의 코드를 실행할 수 있습니다. Consul 0.9.0 이하에서는 기본적으로 스크립트 검사가 사용됩니다. 자세한 내용은 특정 구성의 RCE 위험으로부터 Consul 보호를 참조하세요. 이 취약점을 검사하기 위해 Rapid Vulnerability Detection은 /v1/health/service REST 엔드포인트를 사용하여 Consul 인스턴스에 서비스를 등록하고 다음 중 하나를 실행합니다. * 네트워크 외부의 원격 서버에 대한 curl 명령어를 실행합니다. 공격자가 curl 명령어를 사용하여 서버의 데이터를 유출할 수 있습니다. * printf 명령어를 실행합니다. 그러면 Rapid Vulnerability Detection에서 /v1/health/service REST 엔드포인트를 사용하여 명령어 출력을 확인합니다. * 확인 후 Rapid Vulnerability Detection이 /v1/agent/service/deregister/ REST 엔드포인트를 사용하여 서비스를 삭제하고 등록 취소합니다. |
DRUID_RCE | Apache Druid에는 여러 유형의 요청에 포함된 사용자 제공 JavaScript 코드를 실행하는 기능이 포함되어 있습니다. 이 기능은 신뢰도가 높은 환경에서 사용하기 위한 것이며 기본적으로 중지됩니다. 하지만 Druid 0.20.0 이하에서는 인증된 사용자가 서버 구성에 관계없이 해당 요청에 사용자 제공 JavaScript 코드를 실행하도록 Druid를 강제하는 특별히 조작된 요청을 보낼 수 있습니다. 이를 활용해서 Druid 서버 프로세스 권한을 사용하여 대상 머신에서 코드를 실행할 수 있습니다. 자세한 내용은 CVE-2021-25646 세부정보를 참조하세요. |
DRUPAL_RCE | Drupal 버전 7.58 이전, 8.3.9 이전의 8.x, 8.4.6 이전의 8.4.x 및 8.5.1 이전의 8.5.x는 Form API AJAX 요청에 대한 원격 코드 실행에 취약합니다. Drupal 버전 8.5.11 이전의 8.5.x 및 8.6.10 이전의 8.6.x는 RESTful 웹 서비스 모듈이나 JSON API가 사용 설정된 경우 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 커스텀 POST 요청을 사용하여 이 취약점을 악용할 수 있습니다. |
FLINK_FILE_DISCLOSURE | Apache Flink 버전 1.11.0, 1.11.1, 1.11.2의 취약점으로 인해 공격자가 JobManager 프로세스의 REST 인터페이스를 통해 JobManager의 로컬 파일 시스템에 있는 파일을 읽을 수 있습니다. 액세스는 JobManager 프로세스에서 액세스할 수 있는 파일로 제한됩니다. |
GITLAB_RCE | GitLab Community Edition(CE) 및 Enterprise Edition(EE) 버전 11.9 이상에서 GitLab이 파일 파서로 전달된 이미지 파일을 올바르게 검증하지 않습니다. 공격자가 원격 명령어 실행을 위해 이 취약점을 악용할 수 있습니다. |
GoCD_RCE | GoCD 21.2.0 이하에는 인증 없이 액세스할 수 있는 엔드포인트가 있습니다. 이 엔드포인트에는 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있는 디렉터리 순회 취약점이 있습니다. |
JENKINS_RCE | Jenkins 버전 2.56 이하 및 2.46.1 LTS 이하는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 악의적인 직렬화된 Java 객체를 사용하여 이 취약점을 트리거할 수 있습니다. |
JOOMLA_RCE | Joomla 버전 1.5.x, 2.x, 3.4.6 이전의 3.x는 원격 코드 실행에 취약합니다. 이 취약점은 직렬화된 PHP 객체가 포함된 조작된 헤더로 트리거될 수 있습니다. Joomla 버전 3.0.0~3.4.6은 원격 코드 실행에 취약합니다. 이 취약점은 조작된 직렬화된 PHP 객체가 포함된 POST 요청을 전송하여 트리거할 수 있습니다. |
LOG4J_RCE | Apache Log4j2 2.14.1 이하에서 구성에 사용되는 JNDI 기능, 로그 메시지 및 매개변수는 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호 기능을 제공하지 않습니다. 자세한 내용은 CVE-2021-44228을 참조하세요. |
MANTISBT_PRIVILEGE_ESCALATION | 버전 2.3.0까지의 MantisBT는 빈 confirm_hash 값을 verify.php에 제공하여 임의 비밀번호 재설정 및 인증되지 않은 관리자 액세스를 허용합니다. |
OGNL_RCE | Confluence Server 및 데이터 센터 인스턴스에는 인증되지 않은 공격자가 임의의 코드를 실행할 수 있게 해주는 OGNL 삽입 취약점이 있습니다. 자세한 내용은 CVE-2021-26084를 참조하세요. |
OPENAM_RCE | OpenAM 서버 14.6.2 이하 및 ForgeRock AM 서버 6.5.3 이하에서는 여러 페이지의 jato.pageSession 매개변수에 Java 역직렬화 취약점이 있습니다. 악용 시에는 인증이 필요하지 않으며 서버에 조작된 단일 /ccversion/* 요청을 전송하여 원격 코드 실행을 트리거할 수 있습니다. Sun ONE 애플리케이션의 사용으로 인한 취약점이 존재합니다. 자세한 내용은 CVE-2021-35464를 참조하세요. |
ORACLE_WEBLOGIC_RCE | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 취약점이 포함되어 있습니다. 쉽게 악용할 수 있는 취약점으로 인해 HTTP를 통한 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle WebLogic 서버를 손상시킬 수 있습니다. 이 취약점 공격에 성공하면 Oracle WebLogic 서버를 탈취할 수 있습니다. 자세한 내용은 CVE-2020-14882를 참조하세요. |
PHPUNIT_RCE | PHPUnit 버전 5.6.3 이전은 인증되지 않은 단일 POST 요청으로 원격 코드 실행을 허용합니다. |
PHP_CGI_RCE | 5.3.12 이전 및 5.4.2 이전의 5.4.x 버전의 PHP는 CGI 스크립트로 구성되면 원격 코드 실행을 허용합니다. 취약한 코드는 =(등호 기호) 문자가 없는 쿼리 문자열을 올바르게 처리하지 않습니다. 이로 인해 공격자가 서버에서 실행되는 명령줄 옵션을 추가할 수 있습니다. |
PORTAL_RCE | CE GA2 7.2.1 이전의 Liferay 포털 버전에서 신뢰할 수 없는 데이터를 역직렬화하면 원격 공격자가 JSON 웹 서비스를 통해 임의의 코드를 실행할 수 있습니다. |
REDIS_RCE | 관리 명령어 실행을 위해 Redis 인스턴스에 인증이 필요하지 않으면 공격자가 임의 코드를 실행할 수 있습니다. |
SOLR_FILE_EXPOSED | 오픈소스 검색 서버인 Apache Solr에서는 인증이 사용 설정되지 않습니다. Apache Solr에서 인증을 요구하지 않으면 공격자가 특정 구성을 사용 설정하기 위해 요청을 직접 조작한 후 서버 측 요청 위조(SSRF)를 구현하거나 임의 파일을 읽을 수 있습니다. |
SOLR_RCE | Apache Solr 버전 5.0.0~8.3.1은 params.resource.loader.enabled가 true로 설정된 경우 VelocityResponseWriter를 통한 원격 코드 실행에 취약합니다. 공격자는 이를 통해 악의적인 속도 템플릿이 포함된 매개변수를 만들 수 있습니다. |
STRUTS_RCE |
|
TOMCAT_FILE_DISCLOSURE | Apache Tomcat 버전 9.0.31 이전의 9.x, 8.5.51 이전의 8.x, 7.0.100 이전의 7.x, 모든 6.x는 노출된 Apache JServ 프로토콜 커넥터를 통한 소스 코드와 구성 공개에 취약합니다. 경우에 따라 파일 업로드가 허용되면 원격 코드 실행을 수행할 때 이 방법이 활용됩니다. |
VBULLETIN_RCE | 버전 5.0.0~5.5.4를 실행하는 vBulletin 서버는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 routestring 요청에 쿼리 매개변수를 사용하여 이 취약점을 악용할 수 있습니다. |
VCENTER_RCE | VMware vCenter Server 버전 7.0 U1c 이전의 7.x, 6.7 U3l 이전의 6.7, 6.5 U3n 이전의 6.5는 원격 코드 실행에 취약합니다. 공격자는 조작된 Java 서버 페이지 파일을 웹 액세스 가능한 디렉터리에 업로드한 후 파일 실행을 트리거하여 이 취약점을 트리거할 수 있습니다. |
WEBLOGIC_RCE | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 원격 코드 실행 취약점이 포함되어 있습니다. 이 취약점은 CVE-2020-14750, CVE-2020-14882, CVE-2020-14883과 관련이 있습니다. 자세한 내용은 CVE-2020-14883을 참조하세요. |
OS_VULNERABILITY | VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다. |
UNUSED_IAM_ROLE | IAM 추천자가 지난 90일 동안 사용되지 않은 IAM 역할이 있는 사용자 계정을 감지했습니다. |
GKE_RUNTIME_OS_VULNERABILITY | |
GKE_SECURITY_BULLETIN | |
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | IAM 추천자에서 서비스 에이전트에 부여된 원래 기본 IAM 역할이 기본 IAM 역할(소유자 ,편집자 또는 뷰어) 중 하나로 대체되었음을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여되어서는 안 됩니다. |
지원되는 GCP_SECURITYCENTER_MISCONFIGURATION 발견 항목
필드 매핑 참조: MISCONFIGURATION 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
API_KEY_APIS_UNRESTRICTED | API 키가 너무 광범위하게 사용되고 있습니다. 이를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한합니다. |
API_KEY_APPS_UNRESTRICTED | 무제한으로 사용 중인 API 키가 있으며 신뢰할 수 없는 앱에서 사용할 수 있습니다. |
API_KEY_EXISTS | 프로젝트에서 표준 인증 대신 API 키를 사용합니다. |
API_KEY_NOT_ROTATED | API 키가 90일 이상 순환되지 않았습니다. |
PUBLIC_COMPUTE_IMAGE | Compute Engine 이미지에 공개적으로 액세스할 수 있습니다. |
CONFIDENTIAL_COMPUTING_DISABLED | 컨피덴셜 컴퓨팅이 Compute Engine 인스턴스에서 중지되었습니다. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | 프로젝트의 모든 인스턴스에 로그인할 수 있도록 프로젝트 전체 SSH 키가 사용됩니다. |
COMPUTE_SECURE_BOOT_DISABLED | 이 보안 VM에는 보안 부팅이 사용 설정되어 있지 않습니다. 보안 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다. |
DEFAULT_SERVICE_ACCOUNT_USED | 인스턴스는 기본 서비스 계정을 사용하도록 구성됩니다. |
FULL_API_ACCESS | 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용하도록 구성되어 있습니다. |
OS_LOGIN_DISABLED | 이 인스턴스에서 OS 로그인이 사용 중지됩니다. |
PUBLIC_IP_ADDRESS | 인스턴스에 공개 IP 주소가 있습니다. |
SHIELDED_VM_DISABLED | 이 인스턴스에서 보안 VM이 사용 중지되었습니다. |
COMPUTE_SERIAL_PORTS_ENABLED | 인스턴스에 직렬 포트가 사용 설정되어 있으면 인스턴스의 직렬 콘솔 연결이 허용됩니다. |
DISK_CMEK_DISABLED | 이 VM의 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
HTTP_LOAD_BALANCER | 인스턴스는 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기를 사용합니다. |
IP_FORWARDING_ENABLED | 인스턴스에 IP 전달이 사용 설정되어 있습니다. |
WEAK_SSL_POLICY | 인스턴스의 SSL 정책이 취약합니다. |
BINARY_AUTHORIZATION_DISABLED | GKE 클러스터에서 Binary Authorization이 사용 중지되었습니다. |
CLUSTER_LOGGING_DISABLED | GKE 클러스터에 로깅이 사용 설정되지 않았습니다. |
CLUSTER_MONITORING_DISABLED | Monitoring이 GKE 클러스터에서 사용 중지됩니다. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | 클러스터 호스트가 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않았습니다. |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | 애플리케이션 레이어 보안 비밀 암호화가 GKE 클러스터에서 중지되었습니다. |
INTRANODE_VISIBILITY_DISABLED | GKE 클러스터에 대해 노드 내 가시성이 사용 중지되었습니다. |
MASTER_AUTHORIZED_NETWORKS_DISABLED | 제어 영역 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다. |
NETWORK_POLICY_DISABLED | 네트워크 정책은 GKE 클러스터에서 사용 중지됩니다. |
NODEPOOL_SECURE_BOOT_DISABLED | GKE 클러스터에 대해 보안 부팅이 중지되었습니다. |
OVER_PRIVILEGED_ACCOUNT | 서비스 계정의 클러스터에 지나치게 광범위한 프로젝트 액세스 권한이 있습니다. |
OVER_PRIVILEGED_SCOPES | 노드 서비스 계정에 광범위한 액세스 범위가 있습니다. |
POD_SECURITY_POLICY_DISABLED | GKE 클러스터에 PodSecurityPolicy가 중지되었습니다. |
PRIVATE_CLUSTER_DISABLED | GKE 클러스터에 비공개 클러스터가 사용 중지되어 있습니다. |
WORKLOAD_IDENTITY_DISABLED | GKE 클러스터가 출시 채널에 구독되지 않습니다. |
LEGACY_AUTHORIZATION_ENABLED | 기존 승인이 GKE 클러스터에서 사용 설정됩니다. |
NODEPOOL_BOOT_CMEK_DISABLED | 이 노드 풀에 있는 부팅 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
WEB_UI_ENABLED | GKE 웹 UI(대시보드)가 사용 설정됩니다. |
AUTO_REPAIR_DISABLED | 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 중지되어 있습니다. |
AUTO_UPGRADE_DISABLED | 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 중지되어 있습니다. |
CLUSTER_SHIELDED_NODES_DISABLED | 보안 GKE 노드가 클러스터에 대해 사용 설정되지 않습니다. |
RELEASE_CHANNEL_DISABLED | GKE 클러스터가 출시 채널에 구독되지 않습니다. |
BIGQUERY_TABLE_CMEK_DISABLED | BigQuery 테이블이 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. |
DATASET_CMEK_DISABLED | BigQuery 데이터 세트가 기본 CMEK를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. |
EGRESS_DENY_RULE_NOT_SET | 이그레스 거부 규칙은 방화벽에 설정되지 않습니다. 이그레스 거부 규칙은 원치 않는 아웃바운드 트래픽을 차단하도록 설정해야 합니다. |
FIREWALL_RULE_LOGGING_DISABLED | 방화벽 규칙 로깅이 사용 중지되었습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다. |
OPEN_CASSANDRA_PORT | 방화벽은 일반 액세스를 허용하는 개방형 Cassandra 포트를 갖도록 구성됩니다. |
OPEN_SMTP_PORT | 방화벽은 일반 액세스를 허용하는 개방형 SMTP 포트를 갖도록 구성됩니다. |
OPEN_REDIS_PORT | 방화벽은 일반 액세스를 허용하는 개방형 REDIS 포트를 갖도록 구성됩니다. |
OPEN_POSTGRESQL_PORT | 방화벽은 일반 액세스를 허용하는 개방형 PostgreSQL 포트를 갖도록 구성됩니다. |
OPEN_POP3_PORT | 방화벽은 일반 액세스를 허용하는 개방형 POP3 포트를 갖도록 구성됩니다. |
OPEN_ORACLEDB_PORT | 방화벽은 일반 액세스를 허용하는 개방형 NETBIOS 포트를 갖도록 구성됩니다. |
OPEN_NETBIOS_PORT | 방화벽은 일반 액세스를 허용하는 개방형 NETBIOS 포트를 갖도록 구성됩니다. |
OPEN_MYSQL_PORT | 방화벽은 일반 액세스를 허용하는 개방형 MYSQL 포트를 갖도록 구성됩니다. |
OPEN_MONGODB_PORT | 방화벽은 일반 액세스를 허용하는 개방형 MONGODB 포트를 갖도록 구성됩니다. |
OPEN_MEMCACHED_PORT | 방화벽은 일반 액세스를 허용하는 개방형 MEMCACHED 포트를 갖도록 구성됩니다. |
OPEN_LDAP_PORT | 방화벽은 일반 액세스를 허용하는 개방형 LDAP 포트를 갖도록 구성됩니다. |
OPEN_FTP_PORT | 방화벽은 일반 액세스를 허용하는 개방형 FTP 포트를 갖도록 구성됩니다. |
OPEN_ELASTICSEARCH_PORT | 방화벽은 일반 액세스를 허용하는 개방형 ELASTICSEARCH 포트를 갖도록 구성됩니다. |
OPEN_DNS_PORT | 방화벽은 일반 액세스를 허용하는 개방형 DNS 포트를 갖도록 구성됩니다. |
OPEN_HTTP_PORT | 방화벽은 일반 액세스를 허용하는 개방형 HTTP 포트를 갖도록 구성됩니다. |
OPEN_DIRECTORY_SERVICES_PORT | 방화벽이 일반 액세스를 허용하는 열린 DIRECTORY_SERVICES 포트를 갖도록 구성됩니다. |
OPEN_CISCOSECURE_WEBSM_PORT | 방화벽은 일반 액세스를 허용하는 개방형 CISCOSECURE_WEBSM 포트를 갖도록 구성됩니다. |
OPEN_RDP_PORT | 방화벽은 일반 액세스를 허용하는 개방형 RDP 포트를 갖도록 구성됩니다. |
OPEN_TELNET_PORT | 방화벽은 일반 액세스를 허용하는 개방형 TELNET 포트를 갖도록 구성됩니다. |
OPEN_FIREWALL | 방화벽은 공개 액세스가 가능하도록 구성되어 있습니다. |
OPEN_SSH_PORT | 방화벽은 일반 액세스를 허용하는 개방형 SSH 포트를 갖도록 구성됩니다. |
SERVICE_ACCOUNT_ROLE_SEPARATION | 사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 할당되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다. |
NON_ORG_IAM_MEMBER | 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. CIS Google Cloud Foundations 1.0에 따라 현재는 @gmail.com 이메일 주소가 있는 ID만 이 감지기를 트리거합니다. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | 사용자에게 특정 서비스 계정 대신 프로젝트 수준에서 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다. |
ADMIN_SERVICE_ACCOUNT | 서비스 계정에는 관리자, 소유자, 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | 서비스 계정 키가 90일 이상 순환되지 않았습니다. |
USER_MANAGED_SERVICE_ACCOUNT_KEY | 사용자가 서비스 계정 키를 관리합니다. |
PRIMITIVE_ROLES_USED | 사용자에게 소유자, 작성자, 또는 독자 등의 기본 역할이 있습니다. 이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다. |
KMS_ROLE_SEPARATION | 업무 분리가 시행되지 않으며 CryptoKey 암호화/복호화, 암호화, 복호화와 같은 Cloud Key Management Service(Cloud KMS) 역할을 동시에 갖는 사용자가 존재합니다. |
OPEN_GROUP_IAM_MEMBER | 승인 없이 결합할 수 있는 Google 그룹스 계정이 IAM 허용 정책 주 구성원으로 사용됩니다. |
KMS_KEY_NOT_ROTATED | 순환게재는 Cloud KMS 암호화 키에 구성되어 있지 않습니다. 키는 90일 내에 순환되어야 합니다. |
KMS_PROJECT_HAS_OWNER | 사용자가 암호화 키가 있는 프로젝트에 대한 소유자 권한을 갖습니다. |
TOO_MANY_KMS_USERS | 암호화 키 사용자가 4명 이상입니다. |
OBJECT_VERSIONING_DISABLED | 싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되어 있지 않습니다. |
LOCKED_RETENTION_POLICY_NOT_SET | 로그에 잠긴 보존 정책이 설정되어 있지 않습니다. |
BUCKET_LOGGING_DISABLED | 로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다. |
LOG_NOT_EXPORTED | 적절한 로그 싱크가 구성되어 있지 않은 리소스가 있습니다. |
AUDIT_LOGGING_DISABLED | 이 리소스에 대한 감사 로깅이 사용 중지되었습니다. |
MFA_NOT_ENFORCED | 2단계 인증을 사용하지 않는 사용자가 있습니다. |
ROUTE_NOT_MONITORED | 로그 측정항목과 알림은 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않습니다. |
OWNER_NOT_MONITORED | 로그 측정항목 및 알림은 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않습니다. |
AUDIT_CONFIG_NOT_MONITORED | 로그 측정항목 및 알림이 감사 구성 변경사항을 모니터링하도록 구성되지 않았습니다. |
BUCKET_IAM_NOT_MONITORED | 로그 측정항목 및 알림이 Cloud Storage IAM 권한 변경을 모니터링하도록 구성되지 않았습니다. |
CUSTOM_ROLE_NOT_MONITORED | 로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다. |
FIREWALL_NOT_MONITORED | 로그 측정항목 및 알림이 Virtual Private Cloud(VPC) 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않았습니다. |
NETWORK_NOT_MONITORED | 로그 측정항목 및 알림은 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다. |
SQL_INSTANCE_NOT_MONITORED | 로그 측정항목 및 알림이 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않았습니다. |
DEFAULT_NETWORK | 프로젝트에 기본 네트워크가 있습니다. |
DNS_LOGGING_DISABLED | VPC 네트워크의 DNS 로깅이 사용 설정되지 않았습니다. |
PUBSUB_CMEK_DISABLED | Pub/Sub 주제가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
PUBLIC_SQL_INSTANCE | Cloud SQL 데이터베이스 인스턴스는 모든 IP 주소의 연결을 허용합니다. |
SSL_NOT_ENFORCED | Cloud SQL 데이터베이스 인스턴스는 SSL을 사용하기 위해 모든 수신 연결을 필요로 하지 않습니다. |
AUTO_BACKUP_DISABLED | Cloud SQL 데이터베이스에는 자동 백업이 사용 설정되어 있지 않습니다. |
SQL_CMEK_DISABLED | SQL 데이터베이스 인스턴스가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
SQL_LOG_CHECKPOINTS_DISABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_checkpoints 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_LOG_CONNECTIONS_DISABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_connections 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_LOG_DISCONNECTIONS_DISABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_disconnections 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_LOG_DURATION_DISABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_duration 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_LOG_LOCK_WAITS_DISABLED | PostgreSQL용 Cloud SQL 인스턴스의 log_lock_waits 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_LOG_STATEMENT | PostgreSQL용 Cloud SQL 인스턴스의 log_statement 데이터베이스 플래그가 DDL(모든 데이터 정의 문)로 설정되지 않았습니다. |
SQL_NO_ROOT_PASSWORD | Cloud SQL 데이터베이스에 루트 계정에 대해 구성된 비밀번호가 없습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
SQL_PUBLIC_IP | Cloud SQL Database에는 공개 IP 주소가 있습니다. |
SQL_CONTAINED_DATABASE_AUTHENTICATION | SQL Server용 Cloud SQL 인스턴스의 contained database authentication 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_CROSS_DB_OWNERSHIP_CHAINING | SQL Server용 Cloud SQL 인스턴스의 cross_db_ownership_chaining 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOCAL_INFILE | MySQL용 Cloud SQL 인스턴스의 local_infile 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_LOG_MIN_ERROR_STATEMENT | PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그가 적절하게 설정되지 않았습니다. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그에 대한 심각도 수준이 적절하지 않습니다. |
SQL_LOG_TEMP_FILES | PostgreSQL용 Cloud SQL 인스턴스의 log_temp_files 데이터베이스 플래그가 '0'으로 설정되지 않았습니다. |
SQL_REMOTE_ACCESS_ENABLED | SQL Server용 Cloud SQL 인스턴스의 remote access 데이터베이스 플래그가 off로 설정되지 않았습니다. |
SQL_SKIP_SHOW_DATABASE_DISABLED | MySQL용 Cloud SQL 인스턴스의skip_show_database 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_TRACE_FLAG_3625 | SQL Server용 Cloud SQL 인스턴스의 3625(trace 플래그) 데이터베이스 플래그가 on으로 설정되지 않았습니다. |
SQL_USER_CONNECTIONS_CONFIGURED | SQL Server용 Cloud SQL 인스턴스의 user connections 데이터베이스 플래그가 구성되었습니다. |
SQL_USER_OPTIONS_CONFIGURED | SQL Server용 Cloud SQL 인스턴스의 user options 데이터베이스 플래그가 구성되었습니다. |
PUBLIC_BUCKET_ACL | Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다. |
BUCKET_POLICY_ONLY_DISABLED | 이전에 버킷 전용 정책이라고 불렀던 균일한 버킷 수준 액세스가 구성되지 않았습니다. |
BUCKET_CMEK_DISABLED | 버킷이 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. |
FLOW_LOGS_DISABLED | 흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다. |
PRIVATE_GOOGLE_ACCESS_DISABLED | Google 공개 API에 액세스할 수 없는 비공개 서브네트워크가 있습니다. |
kms_key_region_europe | 회사 정책에 따라 모든 암호화 키는 유럽에 저장되어 있어야 합니다. |
kms_non_euro_region | 회사 정책에 따라 모든 암호화 키는 유럽에 저장되어 있어야 합니다. |
LEGACY_NETWORK | 기존 네트워크가 프로젝트에 존재합니다. |
LOAD_BALANCER_LOGGING_DISABLED | 부하 분산기의 로깅이 중지되었습니다. |
지원되는 GCP_SECURITYCENTER_POSTURE_VIOLATION 발견 항목
필드 매핑 참조: POSTURE VIOLATION 테이블에서 UDM 매핑을 찾을 수 있습니다.
발견 항목 이름 | 설명 |
---|---|
SECURITY_POSTURE_DRIFT | 보안 상황 내에서 정의된 정책의 드리프트. 이는 보안 상황 서비스에서 감지됩니다. |
SECURITY_POSTURE_POLICY_DRIFT | 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 조직 정책의 변경사항을 감지했습니다. |
SECURITY_POSTURE_POLICY_DELETE | 보안 상황 서비스에서 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다. |
SECURITY_POSTURE_DETECTOR_DRIFT | 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 감지기의 변경사항을 감지했습니다. |
SECURITY_POSTURE_DETECTOR_DELETE | 보안 상황 서비스에서 Security Health Analytics 커스텀 모듈이 삭제된 것을 감지되었습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다. |
필드 매핑 참조
이 섹션에서는 Google Security Operations 파서가 Security Command Center 로그 필드를 데이터 세트의 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑하는 방식을 설명합니다.
필드 매핑 참조: 원시 로그 필드에서 UDM 필드로
다음 표에는 Security Command Center Event Threat Detection 발견 항목의 로그 필드와 해당하는 UDM 매핑이 나와 있습니다.
RawLog 필드 | UDM 매핑 | 논리 |
---|---|---|
compliances.ids |
about.labels [compliance_ids] (지원 중단됨) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (지원 중단됨) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (지원 중단됨) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (지원 중단됨) |
connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp 와 일치하지 않는 경우 connections.destinationIp 로그 필드가 about.labels.value UDM 필드에 매핑됩니다. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp 와 일치하지 않는 경우 connections.destinationIp 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다. |
connections.destinationPort |
about.labels [connections_destination_port] (지원 중단됨) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (지원 중단됨) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (지원 중단됨) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (지원 중단됨) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
message 로그 필드 값이 정규 표현식 패턴 kubernetes 와 일치하면 target.resource_ancestors.resource_type UDM 필드가 클러스터로 설정됩니다.그 밖의 경우 message 로그 필드 값이 kubernetes.*?pods 정규 표현식과 일치하면 target.resource_ancestors.resource_type UDM 필드가 포드로 설정됩니다. |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 필드는 GOOGLE_CLOUD_PLATFORM 으로 설정됩니다. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
category 로그 필드 값이 Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Two Step Verification Disabled 또는 Persistence: SSO Enablement Toggle 과 일치하는 경우 extension.auth.type UDM 필드가 SSO 으로 설정됩니다. |
|
extension.mechanism |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 extension.mechanism UDM 필드가 USERNAME_PASSWORD 로 설정됩니다. |
|
extensions.auth.type |
principal.user.user_authentication_status 로그 필드 값이 ACTIVE 와 일치하는 경우 extensions.auth.type UDM 필드가 SSO 로 설정됩니다. |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (지원 중단됨) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (지원 중단됨) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (지원 중단됨) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (지원 중단됨) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (지원 중단됨) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (지원 중단됨) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (지원 중단됨) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
category 로그 필드 값이 Initial Access: Log4j Compromise Attempt 와 일치하는 경우 sourceProperties.properties.loadBalancerName 로그 필드가 intermediary.resource.name UDM 필드에 매핑됩니다. |
|
intermediary.resource.resource_type |
category 로그 필드 값이 Initial Access: Log4j Compromise Attempt 와 일치하는 경우 intermediary.resource.resource_type UDM 필드가 BACKEND_SERVICE 로 설정됩니다. |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
canonicalName 로그 필드 값이 비어 있지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.finding_id 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드가 metadata.product_log_id UDM 필드에 매핑됩니다.canonicalName 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다. |
|
metadata.product_name |
metadata.product_name UDM 필드는 Security Command Center 으로 설정됩니다. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
metadata.vendor_name UDM 필드는 Google 으로 설정됩니다. |
|
network.application_protocol |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 와 일치하는 경우 network.application_protocol UDM 필드가 DNS 으로 설정됩니다. |
sourceProperties.properties.indicatorContext.asn |
network.asn |
category 로그 필드 값이 Malware: Cryptomining Bad IP 와 일치하는 경우 sourceProperties.properties.indicatorContext.asn 로그 필드가 network.asn UDM 필드에 매핑됩니다. |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
category 로그 필드 값이 Malware: Cryptomining Bad IP 와 일치하는 경우 sourceProperties.properties.indicatorContext.carrierName 로그 필드가 network.carrier_name UDM 필드에 매핑됩니다. |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.indicatorContext.reverseDnsDomain 로그 필드가 network.dns_domain UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
category 로그 필드 값이 Malware: Bad Domain 와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseClass 로그 필드가 network.dns.answers.class UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
category 로그 필드 값이 정규 표현식 Malware: Bad Domain 와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseValue 로그 필드가 network.dns.answers.data UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
category 로그 필드 값이 Malware: Bad Domain 와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.domainName 로그 필드가 network.dns.answers.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
category 로그 필드 값이 Malware: Bad Domain 와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.ttl 로그 필드가 network.dns.answers.ttl UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
category 로그 필드 값이 Malware: Bad Domain 와 일치하는 경우 sourceProperties.properties.dnsContexts.responseData.responseType 로그 필드가 network.dns.answers.type UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 과 일치하는 경우 sourceProperties.properties.dnsContexts.authAnswer 로그 필드가 network.dns.authoritative UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 과 일치하는 경우 sourceProperties.properties.dnsContexts.queryName 로그 필드가 network.dns.questions.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 과 일치하는 경우 sourceProperties.properties.dnsContexts.queryType 로그 필드가 network.dns.questions.type UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 과 일치하는 경우 sourceProperties.properties.dnsContexts.responseCode 로그 필드가 network.dns.response_code UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
category 로그 필드 값이 Persistence: New User Agent 와 일치하는 경우 sourceProperties.properties.anomalousSoftware.callerUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다. |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 과 일치하는 경우 sourceProperties.properties.callerUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다. |
access.userAgentFamily |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
category 로그 필드 값이 Discovery: Service Account Self-Investigation 와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다. |
sourceProperties.properties.ipConnection.protocol | network.ip_protocol | category 로그 필드 값이 Malware: Bad IP , Malware: Cryptomining Bad IP 또는Malware: Outgoing DoS 와 일치하는 경우 network.ip_protocol UDM 필드가 다음 값 중 하나로 설정됩니다.
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.indicatorContext.organizationName 로그 필드가 network.organization_name UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
category 로그 필드 값이 Persistence: New User Agent 와 일치하는 경우 sourceProperties.properties.anomalousSoftware.behaviorPeriod 로그 필드가 network.session_duration UDM 필드에 매핑됩니다. |
sourceProperties.properties.sourceIp |
principal.ip |
category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
access.callerIp |
principal.ip |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control , access.callerIp , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Persistence: New Geography 또는 Persistence: IAM Anomalous Grant 와 일치하는 경우 access.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
category 로그 필드 값이 Discovery: Service Account Self-Investigation 와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
category 로그 필드 값이 Evasion: Access from Anonymizing Proxy 와 일치하는 경우 sourceProperties.properties.changeFromBadIp.ip 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
category 로그 필드 값이 Malware: Bad Domain 또는 Malware: Cryptomining Bad Domain 과 일치하는 경우 sourceProperties.properties.dnsContexts.sourceIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
category 로그 필드 값이 Malware: Bad IP , Malware: Cryptomining Bad IP 또는 Malware: Outgoing DoS 과 일치하는 경우 sourceProperties.properties.ipConnection.srcIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 와 일치하고 sourceProperties.properties.ipConnection.srcIp 로그 필드 값이 sourceProperties.properties.indicatorContext.ipAddress 와 일치하지 않는 경우 sourceProperties.properties.indicatorContext.ipAddress 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
category 로그 필드 값이 Persistence: New Geography 와 일치하는 경우 sourceProperties.properties.anomalousLocation.callerIp 로그 필드가 principal.ip UDM 필드에 매핑됩니다. |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain] (지원 중단됨) |
category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.scannerDomain 로그 필드가 principal.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
category 로그 필드 값이 정규 표현식 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.scannerDomain 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (지원 중단됨) |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하면 sourceProperties.properties.dataExfiltrationAttempt.jobState 로그 필드가 principal.labels.key/value 및 UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.jobState 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다. |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.indicatorContext.countryCode 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.job.location 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.job.location 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
category 로그 필드 값이 Persistence: New Geography 또는 Persistence: IAM Anomalous Grant 과 일치하는 경우 sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.anomalousLocation.anomalousLocation 로그 필드가 principal.location.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
category 로그 필드 값이 Malware: Bad IP 또는 Malware: Outgoing DoS 과 일치하는 경우 sourceProperties.properties.ipConnection.srcPort 로그 필드가 principal.port UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 principal.process.file.full_path UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.jobLink 로그 필드가 principal.process.file.full_path UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.job.jobId 로그 필드가 principal.process.pid UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.job.jobId 로그 필드가 principal.process.pid UDM 필드에 매핑됩니다. |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.srcVpc.subnetworkName 로그 필드가 principal.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.srcVpc.projectId 로그 필드가 principal.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 principal.resource_ancestors.name UDM 필드에 매핑되고 principal.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
message 로그 필드 값이 정규 표현식 sourceProperties.sourceId.*?customerOrganizationNumber 와 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 principal.resource.attribute.labels.key/value UDM 필드에 매핑됩니다. |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
sourceProperties.properties.projectId 로그 필드 값이 비어 있지 않은 경우 sourceProperties.properties.projectId 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
category 로그 필드 값이 Discovery: Service Account Self-Investigation 과 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
category 로그 필드 값이 Malware: Outgoing DoS 와 일치하는 경우 sourceProperties.properties.sourceInstanceDetails 로그 필드가 principal.resource.name UDM 필드에 매핑됩니다. |
|
principal.user.account_type |
access.principalSubject 로그 필드 값이 serviceAccount 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 SERVICE_ACCOUNT_TYPE 으로 설정됩니다.그 밖의 경우 access.principalSubject 로그 필드 값이 user 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 CLOUD_ACCOUNT_TYPE 으로 설정됩니다. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
category 로그 필드 값이 Discovery: Service Account Self-Investigation 와 일치하는 경우 principal.user.attribute.labels.key UDM 필드가 rawUserAgent 로 설정되고 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Discovery: Service Account Self-Investigation 와 일치하는 경우 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Evasion: Access from Anonymizing Proxy 와 일치하는 경우 sourceProperties.properties.changeFromBadIp.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.userEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive , Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Impair Defenses: Strong Authentication Disabled , Impair Defenses: Two Step Verification Disabled , Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 sourceProperties.properties.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다.category 로그 필드 값이 Initial Access: Suspicious Login Blocked 와 일치하는 경우 sourceProperties.properties.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
access.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization 또는 Persistence: New Geography 와 일치하는 경우 access.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Persistence: New User Agent 와 일치하는 경우 sourceProperties.properties.anomalousSoftware.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 와 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Persistence: New Geography 와 일치하는 경우 sourceProperties.properties.anomalousLocation.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Credential Access: External Member Added To Privileged Group 와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Credential Access: Privileged Group Opened To Public 와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group 와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.vpcViolation.userEmail 로그 필드가 principal.user.email_addresses UDM 필드에 매핑됩니다. |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
category 로그 필드 값이 Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Two Step Verification Disabled 또는 Persistence: SSO Enablement Toggle 과 일치하는 경우 sourceProperties.properties.ssoState 로그 필드가 principal.user.user_authentication_status UDM 필드에 매핑됩니다. |
database.userName |
principal.user.userid |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 database.userName 로그 필드가 principal.user.userid UDM 필드에 매핑됩니다. |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.threatIntelligenceSource 로그 필드가 security_result.about.application UDM 필드에 매핑됩니다. |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.sourceIp 로그 필드가 security_result.about.ip UDM 필드에 매핑됩니다. |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑됩니다.category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.properties.delta.restrictedResources.resourceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 CLOUD_PROJECT 로 설정됩니다. |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.properties.delta.allowedServices.serviceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 BACKEND_SERVICE 로 설정됩니다. |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.properties.delta.restrictedServices.serviceName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 BACKEND_SERVICE 로 설정됩니다. |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.properties.delta.accessLevels.policyName 로그 필드가 security_result.about.resource.name UDM 필드에 매핑되고 security_result.about.resource_type UDM 필드가 ACCESS_POLICY 로 설정됩니다. |
|
security_result.about.user.attribute.roles.name |
message 로그 필드 값이 contacts.?security 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 security 으로 설정됩니다.message 로그 필드 값이 contacts.?technical 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 Technical 으로 설정됩니다. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
category 로그 필드 값이 Initial Access: Suspicious Login Blocked 와 일치하는 경우 security_result.action UDM 필드가 BLOCK 으로 설정됩니다.category 로그 필드 값이 Brute Force: SSH 와 일치하고 sourceProperties.properties.attempts.authResult 로그 필드 값이 SUCCESS 와 일치하는 경우 security_result.action UDM 필드가 BLOCK 으로 설정됩니다.그 밖의 경우 security_result.action UDM 필드가 BLOCK 으로 설정됩니다. |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 와 일치하는 경우 sourceProperties.properties.delta.restrictedResources.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다. |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 와 일치하는 경우 sourceProperties.properties.delta.restrictedServices.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다. |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 와 일치하는 경우 sourceProperties.properties.delta.allowedServices.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다. |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 와 일치하는 경우 sourceProperties.properties.delta.accessLevels.action 로그 필드가 security_result.action_details UDM 필드에 매핑됩니다. |
|
security_result.alert_state |
state 로그 필드 값이 ACTIVE 와 일치하는 경우 security_result.alert_state UDM 필드가 ALERTING 으로 설정됩니다.그 밖의 경우 security_result.alert_state UDM 필드가 NOT_ALERTING 으로 설정됩니다. |
findingClass |
security_result.catgory_details |
findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다. |
category |
security_result.catgory_details |
findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
mute 로그 필드 값이 MUTED 또는 UNMUTED 과 일치하는 경우 muteInitiator 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
mute 로그 필드 값이 MUTED 또는 UNMUTED 과 일치하는 경우 muteUpdateTimer 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
category 로그 필드 값이 Persistence: New User Agent 와 일치하는 경우 sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.authResult 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.indicatorType 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.customer_industry 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.customer_name 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.lasthit 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.myVote 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.support_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_class_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.tag_name 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.upVotes 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.downVotes 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Over-Privileged Grant , Exfiltration: CloudSQL Restore Backup to External Organization , Initial Access: Log4j Compromise Attempt , Malware: Cryptomining Bad Domain , Malware: Cryptomining Bad IP 또는 Persistence: IAM Anomalous Grant 와 일치하는 경우 security_result.detection_fields.key UDM 필드가 sourceProperties_contextUris_relatedFindingUri_url 로 설정되고 sourceProperties.contextUris.relatedFindingUri.url 로그 필드가 metadata.url_back_to_product UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP , Malware: Cryptomining Bad Domain 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.virustotalIndicatorQueryUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
category 로그 필드 값이 Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled , Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 와 일치하는 경우 sourceProperties.contextUris.workspacesUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.workspacesUri.url 로그 필드가 security_result.detection_fields.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.public_tag_name 로그 필드가 intermediary.labels.key UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.tags.description 로그 필드가 intermediary.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
category 로그 필드 값이 Malware: Bad IP 와 일치하는 경우 sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
sourceProperties.detectionPriority 로그 필드 값이 HIGH 와 일치하는 경우 security_result.priority UDM 필드가 HIGH_PRIORITY 로 설정됩니다.그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 MEDIUM 과 일치하는 경우 security_result.priority UDM 필드가 MEDIUM_PRIORITY 로 설정됩니다.그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 LOW 와 일치하는 경우 security_result.priority UDM 필드가 LOW_PRIORITY 로 설정됩니다. |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
category 로그 필드 값이 Exfiltration: BigQuery Exfiltration 와 일치하는 경우 sourceProperties.properties.vpcViolation.violationReason 로그 필드가 security_result.summary UDM 필드에 매핑됩니다. |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 database.query 로그 필드가 src.process.command_line UDM 필드에 매핑됩니다. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.folders.resourceFolderDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.parentDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.parentName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.projectDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
parent |
src.resource_ancestors.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 parent 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑되고 src.resource_ancestors.resource_type UDM 필드가 TABLE 로 설정됩니다. |
resourceName |
src.resource_ancestors.name |
category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 와 일치하는 경우 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다. |
resource.folders.resourceFolder |
src.resource_ancestors.name |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.folders.resourceFolder 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다. |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.sourceId.projectNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다. |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 sourceProperties.sourceId.organizationNumber 로그 필드가 src.resource_ancestors.product_object_id UDM 필드에 매핑됩니다. |
resource.type |
src.resource_ancestors.resource_subtype |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 database.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 src.resource.attribute.labels.key UDM 필드가 grantees 로 설정되고 database.grantees 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.displayName |
principal.hostname |
resource.type 로그 필드 값이 (?i)google.compute.Instance or google.container.Cluster 정규 표현식 패턴과 일치하면 resource.displayName 로그 필드가 principal.hostname UDM 필드에 매핑됩니다. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.datasetId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.projectId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.resourceUri 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 와 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.backupId 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction 과 일치하는 경우 src.resource.attribute.labels.key/value 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resourceName |
src.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.sources.name 로그 필드가 src.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL 로 설정됩니다. |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.cloudsqlInstanceResource 로그 필드가 src.resource.name UDM 필드에 매핑되고 src.resource.resource_subtype UDM 필드가 CloudSQL 로 설정됩니다. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.sources.name 로그 필드가 src.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 src.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.sourceTable.tableId 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다. |
access.serviceName |
target.application |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Exfiltration: CloudSQL Over-Privileged Grant , Persistence: New Geography 또는 Persistence: IAM Anomalous Grant 와 일치하는 경우 access.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다. |
sourceProperties.properties.serviceName |
target.application |
category 로그 필드 값이 Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled , Impair Defenses: Two Step Verification Disabled , Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 와 일치하는 경우 sourceProperties.properties.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다. |
sourceProperties.properties.domainName |
target.domain.name |
category 로그 필드 값이 Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 과 일치하는 경우 sourceProperties.properties.domainName 로그 필드가 target.domain.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.domains.0 |
target.domain.name |
category 로그 필드 값이 Malware: Bad Domain , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.domains.0 로그 필드가 target.domain.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group 와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group 와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member 로그 필드가 target.group.attribute.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
category 로그 필드 값이 Credential Access: Privileged Group Opened To Public 와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin 로그 필드가 target.group.attribute.permissions.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.permissions 로그 필드가 target.group.attribute.permissions.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
category 로그 필드 값이 Credential Access: External Member Added To Privileged Group 와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group 와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
category 로그 필드 값이 Credential Access: Privileged Group Opened To Public 와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
category 로그 필드 값이 Persistence: IAM Anomalous Grant 와 일치하는 경우 sourceProperties.properties.customRoleSensitivePermissions.roleName 로그 필드가 target.group.attribute.roles.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
category 로그 필드 값이 Credential Access: External Member Added To Privileged Group 와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다. |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
category 로그 필드 값이 Credential Access: Privileged Group Opened To Public 와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다. |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
category 로그 필드 값이 Credential Access: Sensitive Role Granted To Hybrid Group 와 일치하는 경우 sourceProperties.properties.sensitiveRoleToHybridGroup.groupName 로그 필드가 target.group.group_display_name UDM 필드에 매핑됩니다. |
sourceProperties.properties.ipConnection.destIp |
target.ip |
category 로그 필드 값이 Malware: Bad IP , Malware: Cryptomining Bad IP 또는 Malware: Outgoing DoS 과 일치하는 경우 sourceProperties.properties.ipConnection.destIp 로그 필드가 target.ip UDM 필드에 매핑됩니다. |
access.methodName |
target.labels [access_methodName] (지원 중단됨) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (지원 중단됨) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (지원 중단됨) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (지원 중단됨) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (지원 중단됨) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (지원 중단됨) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (지원 중단됨) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (지원 중단됨) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (지원 중단됨) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (지원 중단됨) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (지원 중단됨) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (지원 중단됨) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (지원 중단됨) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (지원 중단됨) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName] (지원 중단됨) |
category 로그 필드 값이 Impair Defenses: Strong Authentication Disabled , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 과 일치하는 경우 sourceProperties.properties.methodName 로그 필드가 target.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
category 로그 필드 값이 Impair Defenses: Strong Authentication Disabled , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 과 일치하는 경우 sourceProperties.properties.methodName 로그 필드가 additional.fields.value.string_value UDM 필드에 매핑됩니다. |
sourceProperties.properties.network.location |
target.location.name |
category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.network.location 로그 필드가 target.location.name UDM 필드에 매핑됩니다. |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
category 로그 필드 값이 Malware: Bad IP 또는 Malware: Outgoing DoS 과 일치하는 경우 sourceProperties.properties.ipConnection.destPort 로그 필드가 target.port UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.query 로그 필드가 target.process.command_line UDM 필드에 매핑됩니다. |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
containers.labels.name 로그 필드가 target.resource_ancestors.attribute.labels.key UDM 필드에 매핑되고 containers.labels.value 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.destVpc.projectId 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
category 로그 필드 값이 Malware: Cryptomining Bad IP 또는 Malware: Bad IP 과 일치하는 경우 sourceProperties.properties.destVpc.subnetworkName 로그 필드가 target.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
category 로그 필드 값이 Malware: Bad IP 또는 Malware: Cryptomining Bad IP 과 일치하는 경우 sourceProperties.properties.network.subnetworkName 로그 필드가 target.resource_ancestors.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
category 로그 필드 값이 Malware: Bad IP 또는 Malware: Cryptomining Bad IP 과 일치하는 경우 sourceProperties.properties.network.subnetworkId 로그 필드가 target.resource_ancestors.value UDM 필드에 매핑됩니다. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
resourceName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
parent |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
containers.name |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
category 로그 필드 값이 Credential Access: External Member Added To Privileged Group 와 일치하는 경우 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
category 로그 필드 값이 Credential Access: Privileged Group Opened To Public 와 일치하는 경우 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Cryptomining Bad IP , Malware: Bad IP , Malware: Cryptomining Bad Domain , Malware: Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.destVpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 sourceProperties.properties.vpc.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VPC_NETWORK 로 설정됩니다.그렇지 않고 category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE 와 일치하는 경우 sourceProperties.properties.vpcName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Increasing Deny Ratio 또는 Allowed Traffic Spike 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 sourceProperties.properties.gceInstanceId 로그 필드가 target.resource_ancestors.product_object_id UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
containers.imageId |
target.resource_ancestors.product_object_id |
category 로그 필드 값이 Persistence: GCE Admin Added Startup Script 또는 Persistence: GCE Admin Added SSH Key 와 일치하는 경우 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.zone 로그 필드가 target.resource.attribute.cloud.availability_zone UDM 필드에 매핑됩니다. |
canonicalName |
metadata.product_log_id |
finding_id 는 Grok 패턴을 사용하는 canonicalName 로그 필드에서 추출됩니다.만약 finding_id 로그 필드 값이 비어있지 않으면 finding_id 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 src.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.
|
canonicalName |
src.resource.product_object_id |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 target.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.
|
canonicalName |
target.resource.product_object_id |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 와 일치하는 경우 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 와 일치하는 경우 target.resource.attribute.labels.key UDM 필드가 exportScope 로 설정되고 sourceProperties.properties.exportToGcs.exportScope 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.objectName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 과 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.originalUri 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 과 일치하는 경우 sourceProperties.properties.metadataKeyOperation 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다. |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction 과 일치하는 경우 exfiltration.targets.components 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다. |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 와 일치하는 경우 sourceProperties.properties.exportToGcs.bucketAccess 로그 필드가 target.resource.attribute.permissions.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.name |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
resourceName |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.attempts.vmName |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.instanceDetails |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
exfiltration.targets.name |
target.resource.name |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 과 일치하는 경우 sourceProperties.properties.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 과 일치하는 경우 sourceProperties.properties.exportToGcs.bucketResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: CloudSQL Restore Backup to External Organization 과 일치하는 경우 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.vmName 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain, Malware: Bad IP , Malware: Cryptomining Bad IP , Malware: Cryptomining Bad Domain 또는 Configurable Bad Domain 과 일치하는 경우 sourceProperties.properties.instanceDetails 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.attribute.name UDM 필드에 매핑되고 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑되고 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 로그 필드가 target.resource.attribute.labels UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.instanceId 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
category 로그 필드가 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.destinations.collectionName 로그 필드가 target.resource.resource_subtype UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Credential Access: External Member Added To Privileged Group 과 일치하는 경우 target.resource.resource_subtype UDM 필드가 Privileged Group 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 target.resource.resource_subtype UDM 필드가 BigQuery 로 설정됩니다. |
|
target.resource.resource_type |
sourceProperties.properties.extractionAttempt.destinations.collectionType 로그 필드 값이 BUCKET 정규 표현식과 일치하면 target.resource.resource_type UDM 필드가 STORAGE_BUCKET 으로 설정됩니다.그 밖의 경우 category 로그 필드 값이 Brute Force: SSH 와 일치하면 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그 밖의 경우 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하면 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그 밖의 경우 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하면 target.resource.resource_type UDM 필드가 TABLE 로 설정됩니다. |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 target.url UDM 필드에 매핑됩니다.category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 과 일치하는 경우 sourceProperties.properties.extractionAttempt.jobLink 로그 필드가 target.url UDM 필드에 매핑됩니다. |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 와 일치하는 경우 sourceProperties.properties.exportToGcs.gcsUri 로그 필드가 target.url UDM 필드에 매핑됩니다. |
sourceProperties.properties.requestUrl |
target.url |
category 로그 필드 값이 Initial Access: Log4j Compromise Attempt 와 일치하는 경우 sourceProperties.properties.requestUrl 로그 필드가 target.url UDM 필드에 매핑됩니다. |
sourceProperties.properties.policyLink |
target.url |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control 와 일치하는 경우 sourceProperties.properties.policyLink 로그 필드가 target.url UDM 필드에 매핑됩니다. |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
category 로그 필드 값이 Persistence: New Geography 와 일치하는 경우 sourceProperties.properties.anomalousLocation.notSeenInLast 로그 필드가 target.user.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.properties.attempts.username |
target.user.userid |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.attempts.username 로그 필드가 target.user.userid UDM 필드에 매핑됩니다.category 로그 필드 값이 Initial Access: Suspicious Login Blocked 와 일치하는 경우 userid 로그 필드가 target.user.userid UDM 필드에 매핑됩니다. |
sourceProperties.properties.principalEmail |
target.user.userid |
category 로그 필드 값이 Initial Access: Suspicious Login Blocked 와 일치하는 경우 userid 로그 필드가 target.user.userid UDM 필드에 매핑됩니다. |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name] (지원 중단됨) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val] (지원 중단됨) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (지원 중단됨) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (지원 중단됨) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
category 로그 필드 값이 Added Binary Executed 또는 Added Library Loaded 와 일치하는 경우 sourceProperties.VM_Instance_Name 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource_ancestors.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
category 로그 필드 값이 Increasing Deny Ratio , Allowed Traffic Spike 또는 Application DDoS Attack Attempt 과 일치하는 경우 sourceProperties.Backend_Service 로그 필드가 target.resource.name UDM 필드에 매핑되고 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
category 로그 필드 값이 Increasing Deny Ratio , Allowed Traffic Spike , 또는 Application DDoS Attack Attempt 와 일치하는 경우 target.resource.resource_type UDM 필드가 BACKEND_SERVICE 로 설정됩니다.category 로그 필드 값이 Configurable Bad Domain 과 일치하는 경우 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다. |
|
is_alert |
state 로그 필드 값이 ACTIVE 이고 mute_is_not_present 필드 값이 true와 일치하지 않는 경우(mute 로그 필드 값이 UNMUTED 또는 mute 로그 필드 값이 UNDEFINED ), is_alert UDM 필드가 true 로 설정되고 그 밖의 경우 is_alert UDM 필드가 false 로 설정됩니다. |
|
is_significant |
state 로그 필드 값이 ACTIVE 이고 mute_is_not_present 필드 값이 true와 일치하지 않는 경우(mute 로그 필드 값이 UNMUTED 또는 mute 로그 필드 값이 UNDEFINED ), is_significant UDM 필드가 true 로 설정되고 그 밖의 경우 is_significant UDM 필드가 false 로 설정됩니다. |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : sourceProperties.properties.sensitiveRoleGrant.principalEmail 로그 필드에서 user_id 가 추출된 후 user_id 필드가 principal.user.userid UDM 필드에 매핑됩니다. |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : sourceProperties.properties.customRoleSensitivePermissions.principalEmail 로그 필드에서 user_id 가 추출된 후 user_id 필드가 principal.user.userid UDM 필드에 매핑됩니다. |
resourceName |
principal.asset.location.name |
parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection 과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name , region , zone_suffix , asset_prod_obj_id 가 추출된 후 region 로그 필드가 principal.asset.location.name UDM 필드에 매핑됩니다. |
resourceName |
principal.asset.product_object_id |
parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection 과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name , region , zone_suffix , asset_prod_obj_id 가 추출된 후 asset_prod_obj_id 로그 필드가 principal.asset.product_object_id UDM 필드에 매핑됩니다. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection 과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name , region , zone_suffix , asset_prod_obj_id 가 추출된 후 zone_suffix 로그 필드가 principal.asset.attribute.cloud.availability_zone UDM 필드에 매핑됩니다. |
resourceName |
principal.asset.attribute.labels[project_name] |
parentDisplayName 로그 필드 값이 Virtual Machine Threat Detection 과 일치하는 경우 Grok : resourceName 로그 필드에서 project_name , region , zone_suffix , asset_prod_obj_id 가 추출된 후 project_name 로그 필드가 principal.asset.attribute.labels.value UDM 필드에 매핑됩니다. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.methodName 로그 필드가 target.labels UDM 필드에 매핑됩니다. |
additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.methodName 로그 필드가 additional.fields UDM 필드에 매핑됩니다. |
target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.serviceName 로그 필드가 target.labels UDM 필드에 매핑됩니다. |
additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.serviceName 로그 필드가 additional.fields UDM 필드에 매핑됩니다. |
target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.attemptTimes 로그 필드가 target.labels UDM 필드에 매핑됩니다. |
additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.attemptTimes 로그 필드가 additional.fields UDM 필드에 매핑됩니다. |
target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하는 경우 sourceProperties.properties.failedActions.lastOccurredTime 로그 필드가 target.labels UDM 필드에 매핑됩니다. |
additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | category 로그 필드 값이 Initial Access: Excessive Permission Denied Actions 와 일치하면 sourceProperties.properties.failedActions.lastOccurredTime 로그 필드가 additional.fields UDM 필드에 매핑됩니다. |
필드 매핑 참조: 이벤트 식별자에서 이벤트 유형으로
이벤트 식별자 | 이벤트 유형 | 보안 카테고리 |
---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
다음 표에는 Security Command Center - VULNERABILITY
, MISCONFIGURATION
, OBSERVATION
, ERROR
, UNSPECIFIED
, POSTURE_VIOLATION
발견 항목 클래스의 UDM 이벤트 유형과 UDM 필드 매핑이 포함되어 있습니다.
VULNERABILITY 카테고리에서 UDM 이벤트 유형
다음 표에는 VULNERABILITY 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 | 보안 카테고리 |
---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
MISCONFIGURATION 카테고리에서 UDM 이벤트 유형으로
다음 표에는 MISCONFIGURATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 |
---|---|
API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_EXISTS | SCAN_UNCATEGORIZED |
API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
FULL_API_ACCESS | SCAN_UNCATEGORIZED |
OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
HTTP_LOAD_BALANCER | SCAN_NETWORK |
IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
WEAK_SSL_POLICY | SCAN_NETWORK |
BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
OPEN_CASSANDRA_PORT | SCAN_NETWORK |
OPEN_SMTP_PORT | SCAN_NETWORK |
OPEN_REDIS_PORT | SCAN_NETWORK |
OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
OPEN_POP3_PORT | SCAN_NETWORK |
OPEN_ORACLEDB_PORT | SCAN_NETWORK |
OPEN_NETBIOS_PORT | SCAN_NETWORK |
OPEN_MYSQL_PORT | SCAN_NETWORK |
OPEN_MONGODB_PORT | SCAN_NETWORK |
OPEN_MEMCACHED_PORT | SCAN_NETWORK |
OPEN_LDAP_PORT | SCAN_NETWORK |
OPEN_FTP_PORT | SCAN_NETWORK |
OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
OPEN_DNS_PORT | SCAN_NETWORK |
OPEN_HTTP_PORT | SCAN_NETWORK |
OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
OPEN_RDP_PORT | SCAN_NETWORK |
OPEN_TELNET_PORT | SCAN_NETWORK |
OPEN_FIREWALL | SCAN_NETWORK |
OPEN_SSH_PORT | SCAN_NETWORK |
SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
ROUTE_NOT_MONITORED | SCAN_NETWORK |
OWNER_NOT_MONITORED | SCAN_NETWORK |
AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
FIREWALL_NOT_MONITORED | SCAN_NETWORK |
NETWORK_NOT_MONITORED | SCAN_NETWORK |
SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
DEFAULT_NETWORK | SCAN_NETWORK |
DNS_LOGGING_DISABLED | SCAN_NETWORK |
PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
SSL_NOT_ENFORCED | SCAN_NETWORK |
AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
SQL_PUBLIC_IP | SCAN_NETWORK |
SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
FLOW_LOGS_DISABLED | SCAN_NETWORK |
PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
kms_key_region_europe | SCAN_UNCATEGORIZED |
kms_non_euro_region | SCAN_UNCATEGORIZED |
LEGACY_NETWORK | SCAN_NETWORK |
LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
OBSERVATION 카테고리에서 UDM 이벤트 유형으로
다음 표에는 OBSERVATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 |
---|---|
지속성: 프로젝트 SSH 키 추가 | SETTING_MODIFICATION |
지속성: 민감한 역할 추가 | RESOURCE_PERMISSIONS_CHANGE |
영향: GPU 인스턴스 생성 | USER_RESOURCE_CREATION |
영향: 많은 인스턴스 생성 | USER_RESOURCE_CREATION |
ERROR 카테고리에서 UDM 이벤트 유형으로
다음 표에는 ERROR 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 |
---|---|
VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
API_DISABLED | SCAN_UNCATEGORIZED |
KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
UNSPECIFIED 카테고리에서 UDM 이벤트 유형으로
다음 표에는 UNSPECIFIED 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 | 보안 카테고리 |
---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
POSTURE_VIOLATION 카테고리에서 UDM 이벤트 유형으로
다음 표에는 POSTURE_VIOLATION 카테고리와 해당하는 UDM 이벤트 유형이 나와 있습니다.
이벤트 식별자 | 이벤트 유형 |
---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
필드 매핑 참조: VULNERABILITY
다음 표에는 VULNERABILITY 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 | 논리 |
---|---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
assetId | target.asset.asset_id | |
findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
sourceProperties.description | extensions.vuln.vulnerabilities.description | |
sourceProperties.finalUrl | network.http.referral_url | |
sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
sourceProperties.httpMethod | network.http.method | |
sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
externalUri | about.url | |
category | extensions.vuln.vulnerabilities.name | |
resourceName | principal.asset.location.name | Grok 패턴을 사용하여 resourceName 에서 region 을 추출하고 principal.asset.location.name UDM 필드에 매핑했습니다. |
resourceName | principal.asset.product_object_id | Grok 패턴을 사용하여 resourceName 에서 asset_prod_obj_id 을 추출하고 principal.asset.product_object_id UDM 필드에 매핑했습니다. |
resourceName | principal.asset.attribute.cloud.availability_zone | Grok 패턴을 사용하여 resourceName 에서 zone_suffix 을 추출하고 principal.asset.attribute.cloud.availability_zone UDM 필드에 매핑했습니다. |
sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
iamBindings.role | about.user.attribute.roles.name | |
iamBindings.member | about.user.email_addresses | |
iamBindings.action | about.user.attribute.labels.key/value[action] |
필드 매핑 참조: MISCONFIGURATION
다음 표에는 MISCONFIGURATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 |
---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
assetId | target.asset.asset_id |
externalUri | about.url |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
sourceProperties.ExposedService | target.application |
sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
sourceProperties.cli_remediation | target.process.command_line_history |
sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
sourceProperties.TargetProxyUrl | target.url |
sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
필드 매핑 참조: OBSERVATION
다음 표에는 OBSERVATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 |
---|---|
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
assetId | target.asset.asset_id |
필드 매핑 참조: ERROR
다음 표에는 ERROR 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 |
---|---|
externalURI | about.url |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
필드 매핑 참조: UNSPECIFIED
다음 표에는 UNSPECIFIED 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 |
---|---|
sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
필드 매핑 참조: POSTURE_VIOLATION
다음 표에는 POSTURE_VIOLATION 카테고리의 로그 필드와 해당하는 UDM 필드가 나와 있습니다.
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
finding.resourceName |
target.resource_ancestors.name |
finding.resourceName 로그 필드 값이 비어 있지 않은 경우 finding.resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.project_name 필드는 Grok 패턴을 사용하여 finding.resourceName 로그 필드에서 추출됩니다.project_name 필드 값이 비어 있지 않은 경우 project_name 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
resourceName |
target.resource_ancestors.name |
resourceName 로그 필드 값이 비어 있지 않은 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.project_name 필드는 Grok 패턴을 사용하여 resourceName 로그 필드에서 추출됩니다.project_name 필드 값 비어 있지 않은 경우 project_name 필드가target.resource_ancestors.name UDM 필드에 매핑됩니다. |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
finding.cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 finding.cloudProvider 로그 필드가 about.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
|
cloudProvider |
about.resource.attribute.cloud.environment |
cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 cloudProvider 로그 필드가 about.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
resource.cloudProvider 로그 필드 값에 다음 값 중 하나가 포함된 경우 resource.cloudProvider 로그 필드가 target.resource.attribute.cloud.environment UDM 필드에 매핑됩니다.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
일반 필드: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
다음 표에는 SECURITY COMMAND CENTER - VULNERABILITY
, MISCONFIGURATION
, OBSERVATION
, ERROR
, UNSPECIFIED
, POSTURE_VIOLATION
, TOXIC_COMBINATION
카테고리의 일반 필드와 해당하는 UDM 필드가 나와 있습니다.
RawLog 필드 | UDM 매핑 | 논리 |
---|---|---|
compliances.ids |
about.labels [compliance_ids] (지원 중단됨) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version] (지원 중단됨) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard] (지원 중단됨) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip] (지원 중단됨) |
connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp 와 일치하지 않는 경우 connections.destinationIp 로그 필드가 about.labels.value UDM 필드에 매핑됩니다. |
connections.destinationIp |
additional.fields [connections_destination_ip] |
connections.destinationIp 로그 필드 값이 sourceProperties.properties.ipConnection.destIp 와 일치하지 않는 경우 connections.destinationIp 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다. |
connections.destinationPort |
about.labels [connections_destination_port] (지원 중단됨) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol] (지원 중단됨) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip] (지원 중단됨) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port] (지원 중단됨) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
target.resource_ancestors.resource_type UDM 필드는 CLUSTER 으로 설정됩니다. |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 필드는 GOOGLE_CLOUD_PLATFORM 으로 설정됩니다. |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (지원 중단됨) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (지원 중단됨) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (지원 중단됨) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (지원 중단됨) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (지원 중단됨) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (지원 중단됨) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (지원 중단됨) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (지원 중단됨) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
canonicalName 로그 필드 값이 비어 있지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.finding_id 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드가 metadata.product_log_id UDM 필드에 매핑됩니다.canonicalName 로그 필드 값이 비어 있으면 sourceProperties.evidence.sourceLogId.insertId 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
message 로그 필드 값이 정규 표현식 sourceProperties.sourceId.*?customerOrganizationNumber 와 일치하는 경우 sourceProperties.sourceId.customerOrganizationNumber 로그 필드가 principal.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.projectName |
principal.resource.name |
|
|
principal.user.account_type |
access.principalSubject 로그 필드 값이 serviceAccount 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 SERVICE_ACCOUNT_TYPE 으로 설정됩니다.그 밖의 경우 access.principalSubject 로그 필드 값이 user 정규 표현식과 일치하면 principal.user.account_type UDM 필드가 CLOUD_ACCOUNT_TYPE 으로 설정됩니다. |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
|
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
message 로그 필드 값이 contacts.?security 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 security 으로 설정됩니다.message 로그 필드 값이 contacts.?technical 정규 표현식과 일치하면 security_result.about.user.attribute.roles.name UDM 필드가 Technical 으로 설정됩니다. |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
state 로그 필드 값이 ACTIVE 와 일치하는 경우 security_result.alert_state UDM 필드가 ALERTING 으로 설정됩니다.그 밖의 경우 security_result.alert_state UDM 필드가 NOT_ALERTING 으로 설정됩니다. |
findingClass, category |
security_result.catgory_details |
findingClass - category 로그 필드가 security_result.catgory_details UDM 필드에 매핑됩니다. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
mute 로그 필드 값이 MUTED 또는 UNMUTED 과 일치하는 경우 muteInitiator 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
mute 로그 필드 값이 MUTED 또는 UNMUTED 과 일치하는 경우 muteUpdateTimer 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
category 로그 필드 값이 Active Scan: Log4j Vulnerable to RCE , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Over-Privileged Grant , Exfiltration: CloudSQL Restore Backup to External Organization , Initial Access: Log4j Compromise Attempt , Malware: Cryptomining Bad Domain , Malware: Cryptomining Bad IP 또는 Persistence: IAM Anomalous Grant 와 일치하는 경우 security_result.detection_fields.key UDM 필드가 sourceProperties_contextUris_relatedFindingUri_url 로 설정되고 sourceProperties.contextUris.relatedFindingUri.url 로그 필드가 metadata.url_back_to_product UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP , Malware: Cryptomining Bad Domain 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.virustotalIndicatorQueryUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
category 로그 필드 값이 Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled , Persistence: SSO Enablement Toggle 또는 Persistence: SSO Settings Changed 와 일치하는 경우 sourceProperties.contextUris.workspacesUri.displayName 로그 필드가 security_result.detection_fields.key UDM 필드에 매핑되고 sourceProperties.contextUris.workspacesUri.url 로그 필드가 security_result.detection_fields.value UDM 필드에 매핑됩니다. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
sourceProperties.detectionPriority 로그 필드 값이 HIGH 와 일치하는 경우 security_result.priority UDM 필드가 HIGH_PRIORITY 로 설정됩니다.그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 MEDIUM 과 일치하는 경우 security_result.priority UDM 필드가 MEDIUM_PRIORITY 로 설정됩니다.그렇지 않고 sourceProperties.detectionPriority 로그 필드 값이 LOW 와 일치하는 경우 security_result.priority UDM 필드가 LOW_PRIORITY 로 설정됩니다. |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 database.query 로그 필드가 src.process.command_line UDM 필드에 매핑됩니다.그 밖의 경우 database.query 로그 필드가 target.process.command_line UDM 필드에 매핑됩니다. |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.folders.resourceFolderDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.value UDM 필드에 매핑됩니다.그 밖의 경우 resource.folders.resourceFolderDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.parentDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.그 밖의 경우 resource.parentDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.parentName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.그 밖의 경우 resource.parentName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.projectDisplayName 로그 필드가 src.resource_ancestors.attribute.labels.key/value UDM 필드에 매핑됩니다.그 밖의 경우 resource.projectDisplayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.type |
src.resource_ancestors.resource_subtype |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 database.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
category 로그 필드 값이 Exfiltration: CloudSQL Over-Privileged Grant 와 일치하는 경우 src.resource.attribute.labels.key UDM 필드가 grantees 로 설정되고 database.grantees 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.그 밖의 경우 resource.displayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.그 밖의 경우 resource.display_name 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.type |
src.resource_ancestors.resource_subtype |
category 로그 필드 값이 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.type 로그 필드가 src.resource_ancestors.resource_subtype UDM 필드에 매핑됩니다. |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.displayName 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.그 밖의 경우 resource.displayName 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 resource.display_name 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다.그 밖의 경우 resource.display_name 로그 필드가 target.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction 과 일치하는 경우 exfiltration.sources.components 로그 필드가 src.resource.attribute.labels.value UDM 필드에 매핑됩니다. |
resourceName |
src.resource.name |
category 로그 필드 값이 Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive 또는 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 resourceName 로그 필드가 src.resource.name UDM 필드에 매핑됩니다. |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
category 로그 필드 값이 Defense Evasion: Modify VPC Service Control , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Exfiltration: CloudSQL Over-Privileged Grant , Persistence: New Geography 또는 Persistence: IAM Anomalous Grant 와 일치하는 경우 access.serviceName 로그 필드가 target.application UDM 필드에 매핑됩니다. |
access.methodName |
target.labels [access_methodName] (지원 중단됨) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated] (지원 중단됨) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents] (지원 중단됨) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize] (지원 중단됨) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed] (지원 중단됨) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name] (지원 중단됨) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val] (지원 중단됨) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated] (지원 중단됨) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents] (지원 중단됨) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize] (지원 중단됨) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed] (지원 중단됨) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents] (지원 중단됨) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize] (지원 중단됨) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed] (지원 중단됨) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Persistence: GCE Admin Added SSH Key 또는 Persistence: GCE Admin Added Startup Script 와 일치하는 경우 sourceProperties.properties.projectId 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다. |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 sourceProperties.properties.zone 로그 필드가 target.resource.attribute.cloud.availability_zone UDM 필드에 매핑됩니다. |
canonicalName |
metadata.product_log_id |
finding_id 는 Grok 패턴을 사용하는 canonicalName 로그 필드에서 추출됩니다.만약 finding_id 로그 필드 값이 비어있지 않으면 finding_id 로그 필드는 metadata.product_log_id UDM 필드에 매핑됩니다. |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 src.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.
|
canonicalName |
src.resource.product_object_id |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.product_object_id UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 src.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 하나에 해당하는 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
finding_id 로그 필드 값이 비어 있지 않은 경우 finding_id 로그 필드가 target.resource.attribute.labels.key/value [finding_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 finding_id 를 추출합니다.
|
canonicalName |
target.resource.product_object_id |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.product_object_id UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
source_id 로그 필드 값이 비어 있지 않은 경우 source_id 로그 필드가 target.resource.attribute.labels.key/value [source_id] UDM 필드에 매핑됩니다. category 로그 필드 값이 다음 값 중 어느 것에도 해당하지 않은 경우 Grok 패턴을 사용하여 canonicalName 로그 필드에서 source_id 를 추출합니다.
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
category 로그 필드 값이 Exfiltration: CloudSQL Data Exfiltration 또는 Exfiltration: BigQuery Data Extraction 과 일치하는 경우 exfiltration.targets.components 로그 필드가 target.resource.attribute.labels.key/value UDM 필드에 매핑됩니다. |
resourceName |
target.resource.name |
category 로그 필드 값이 Brute Force: SSH 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Malware: Bad Domain , Malware: Bad IP 또는 Malware: Cryptomining Bad IP 와 일치하는 경우 resourceName 로그 필드가 target.resource_ancestors.name UDM 필드에 매핑되고 target.resource.resource_type UDM 필드가 VIRTUAL_MACHINE 으로 설정됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Extraction 또는 Exfiltration: BigQuery Data to Google Drive 와 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그렇지 않고 category 로그 필드 값이 Exfiltration: BigQuery Data Exfiltration 과 일치하는 경우 exfiltration.target.name 로그 필드가 target.resource.name UDM 필드에 매핑됩니다.그 밖의 경우 resourceName 로그 필드가 target.resource.name UDM 필드에 매핑됩니다. |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
sourceProperties.Header_Signature.name 로그 필드 값이 RegionCode 와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.location.country_or_region UDM 필드에 매핑됩니다.
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
sourceProperties.Header_Signature.name 로그 필드 값이 RemoteHost 와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.ip UDM 필드에 매핑됩니다.
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
sourceProperties.Header_Signature.name 로그 필드 값이 UserAgent 와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 network.http.user_agent UDM 필드에 매핑됩니다.
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
sourceProperties.Header_Signature.name 로그 필드 값이 RequestUriPath 와 같으면 sourceProperties.Header_Signature.significantValues.value 로그 필드가 principal.url UDM 필드에 매핑됩니다.
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
category 로그 필드 값이 account_has_leaked_credentials 와 일치하는 경우 sourceProperties.compromised_account 로그 필드가 principal.user.userid UDM 필드에 매핑되고 principal.user.account_type UDM 필드는 SERVICE_ACCOUNT_TYPE 으로 설정됩니다.
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.project_identifier 로그 필드가 principal.resource.product_object_id UDM 필드에 매핑됩니다.
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.private_key_identifier 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다.
|
sourceProperties.action_taken |
principal.labels [action_taken] (지원 중단됨) |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.action_taken 로그 필드가 principal.labels.value UDM 필드에 매핑됩니다.
|
sourceProperties.action_taken |
additional.fields [action_taken] |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.action_taken 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다.
|
sourceProperties.finding_type |
principal.labels [finding_type] (지원 중단됨) |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.finding_type 로그 필드가 principal.labels.value UDM 필드에 매핑됩니다.
|
sourceProperties.finding_type |
additional.fields [finding_type] |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.finding_type 로그 필드가 additional.fields.value UDM 필드에 매핑됩니다.
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.url 로그 필드가 principal.user.attribute.labels.value UDM 필드에 매핑됩니다.
|
sourceProperties.security_result.summary |
security_result.summary |
category 로그 필드 값이 account_has_leaked_credentials 와 같으면 sourceProperties.security_result.summary 로그 필드가 security_result.summary UDM 필드에 매핑됩니다.
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |