Se usó la API de Cloud Translation para traducir esta página.

Recopila los hallazgos de Security Command Center

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo puedes recopilar registros de Security Command Center configurando Security Command Center y transfiriendo los resultados a Google Security Operations. En este documento, también se enumeran los eventos compatibles.

Para obtener más información, consulta Transferencia de datos a Google Security Operations y Exporta los resultados de Security Command Center a Google Security Operations. Una implementación típica consiste en Security Command Center y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

Google Cloud: Es el sistema que se supervisa y en el que se instaló Security Command Center.
Resultados de Event Threat Detection de Security Command Center: Recopila información de la fuente de datos y genera resultados.
Google Security Operations: Retiene y analiza los registros de Security Command Center.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de transferencia:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configura Security Command Center y Google Cloud para enviar los resultados a Google Security Operations

Activa Security Command Center.
Asegúrate de que todos los sistemas de la implementación estén configurados en la zona horaria UTC.
Habilita la transferencia de los resultados de Security Command Center.

Hallazgos compatibles de Event Threat Detection

En esta sección, se enumeran los resultados admitidos de Event Threat Detection. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta Reglas de Event Threat Detection.

Buscando nombre	Descripción
Análisis activo: Log4j es vulnerable a RCE	Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos.
Ataques de fuerza bruta: SSH	Detección de fuerza bruta SSH exitosa en un host
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios	Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo de permisos o funciones sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios no seguros en Grupos de Google.
Acceso a las credenciales: Grupo privilegiado abierto al público	Detecta cuando un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles) se cambia para que sea accesible al público en general. Para obtener más información, consulta Cambios no seguros en Grupos de Google.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido	Detecta cuándo se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en Grupos de Google.
Defense Evasion: Modifica el Control de servicios de VPC	Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro.
Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles	Un agente malicioso intentó determinar qué objetos sensibles en Google Kubernetes Engine (GKE) se pueden consultar con el comando kubectl auth can-i get.
Descubrimiento: Autoinvestigación de cuentas de servicio	La detección de una credencial de cuenta de servicio de Identity and Access Management (IAM) que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio.
Evasión: Acceso desde un proxy de anonimización	Detección de Google Cloud modificaciones del servicio que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor
Robo de datos: Robo de datos de BigQuery	Detecta las siguientes situaciones: Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia. Intentos de acceder a recursos de BigQuery protegidos por el Control de servicio de VPC
Robo de datos: Extracción de datos de BigQuery	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización. Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.
Robo de datos: datos de BigQuery en Google Drive	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Robo de datos de Cloud SQL	Detecta las siguientes situaciones: Los datos de la instancia publicada se exportan a un bucket de Cloud Storage fuera de la organización. Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Detecta cuándo la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización.
Robo de datos: Otorgamiento con exceso de privilegios de SQL de Cloud SQL	Detecta cuando un usuario o un rol de Cloud SQL Postgres tiene todos los privilegios en una base de datos o todas las tablas, los procedimientos o las funciones de un esquema.
Inhabilita las defensas: Autenticación segura inhabilitada	Se inhabilitó la verificación en dos pasos para la organización.
Inhabilita las defensas: Verificación en dos pasos inhabilitada	Un usuario inhabilitó la verificación en 2 pasos.
Acceso inicial: Usurpación de cuenta inhabilitada	Se suspendió la cuenta de un usuario debido a una actividad sospechosa.
Acceso inicial: Filtrado de contraseña inhabilitada	Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.
Acceso inicial: Ataque basado en el Gobierno	Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.
Acceso inicial: Intento de compromiso de Log4j	Detecta las búsquedas de Java Naming and Directory Interface (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso.
Acceso inicial: Acceso sospechoso bloqueado	Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario.
Software malicioso de Log4j: Error de dominio	Detección de tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una búsqueda sobre este.
Software malicioso de Log4j: IP incorrecta	Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j.
Software malicioso: error de dominio	Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP	Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Software malicioso: Error de criptominería en un dominio	Detección de criptominería basada en una conexión a un dominio de minería de criptomonedas conocido o una búsqueda de este
Software malicioso: Criptominería de IP incorrecta	Detección de minería de criptomonedas basada en una conexión a una dirección IP de minería conocida
DoS Salientes	Detección del tráfico saliente de denegación del servicio
El administrador de Compute Engine agregó la clave SSH	Detección de una modificación en el valor de la clave SSH de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio	Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM	Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado.
Persistencia: Nuevo método de API (versión preliminar)	Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía	Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes
Persistencia: Usuario-agente nuevo	Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos
Persistencia: Activación o desactivación de SSO	Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada	Se cambió la configuración de SSO para la cuenta de administrador.
Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes (versión preliminar)	Para elevar privilegios, un agente malicioso intentó modificar los objetos ClusterRole y ClusterRoleBinding de cluster-admin mediante una solicitud PUT o PATCH.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal	Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le da acceso de administrador del clúster.
Elevación de privilegios: Creación de vinculaciones sensibles de Kubernetes (versión preliminar)	Un agente malicioso intentó crear nuevos objetos RoleBinding o ClusterRoleBinding de administrador del clúster para elevar sus privilegios.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas (versión preliminar)	Un agente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor de Kubernetes con privilegios (versión preliminar)	Un agente malicioso creó Pods que contienen contenedores con privilegios o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo de privilegios configurado como verdadero. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como verdadero.
Acceso inicial: Se creó la clave de cuenta de servicio inactiva	Detecta eventos en los que se crea una clave para una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Árbol de procesos	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un binario que no debe generar un proceso de shell, el detector activa un hallazgo.
Shell secundario inesperado	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un binario que no debe generar un proceso de shell, el detector activa un hallazgo.
Ejecución: Se agregó el ejecutable binario malicioso	El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: Se ejecutó un objeto binario malicioso modificado	El detector busca un objeto binario en ejecución que se incluyó originalmente en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución y se identificó como malicioso en función de la inteligencia sobre amenazas.
Derivación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador	Detecta cuando se encuentra una solicitud delegada anómala de varios pasos para una actividad administrativa.
Cuenta de anulación de emergencia usada: break_glass_account	Detecta el uso de una cuenta de acceso de emergencia (anulación de emergencia).
Mal dominio configurable: APT29_Domains	Detecta una conexión a un nombre de dominio especificado.
Otorgamiento de rol inesperado: Roles prohibidos	Detecta cuándo se otorga un rol especificado a un usuario.
IP incorrecta configurable	Detecta una conexión a una dirección IP especificada.
Tipo inesperado de instancia de Compute Engine	Detecta la creación de instancias de Compute Engine que no coinciden con un tipo de instancia o una configuración especificados.
Imagen de origen inesperada de Compute Engine	Detecta la creación de una instancia de Compute Engine con una imagen o familia de imágenes que no coincide con una lista especificada.
Región inesperada de Compute Engine	Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada.
Rol personalizado con permiso prohibido	Detecta cuándo se otorga a una principal un rol personalizado con cualquiera de los permisos de IAM especificados.
Llamada inesperada a la API de Cloud	Detecta cuándo un principal especificado llama a un método especificado en un recurso especificado. Se genera un hallazgo solo si todas las expresiones regulares coinciden en una sola entrada de registro.

Resultados admitidos de GCP_SECURITYCENTER_ERROR

Puedes encontrar la asignación de la UDM en la tabla Referencia de asignación de campos: ERROR.

Buscando nombre	Descripción
VPC_SC_RESTRICTION	Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging.
API_DISABLED	Una API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.
KTD_IMAGE_PULL_FAILURE	No se puede habilitar la detección de amenazas a contenedores en el clúster porque no se puede extraer (descargar) una imagen de contenedor requerida de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere esta función.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere la detección de amenazas a contenedores. Cuando se visualizan en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que Google Kubernetes Engine mostró cuando la Detección de amenazas de contenedores intentó implementar un objeto DaemonSet de Detección de amenazas de contenedores.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE del clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados.

Resultados compatibles de GCP_SECURITYCENTER_OBSERVATION

Puedes encontrar la asignación de la AUA en la tabla Referencia de asignación de campos: OBSERVACIÓN.

Buscando nombre	Descripción
Persistencia: Se agregó la clave SSH del proyecto	Se creó una clave SSH a nivel del proyecto para un proyecto que tiene más de 10 días.
Persistencia: Agrega un rol sensible	Se otorgó un rol de IAM sensible o con privilegios elevados a nivel de la organización en una organización que tiene más de 10 días.

Resultados compatibles de GCP_SECURITYCENTER_UNSPECIFIED

Puedes encontrar la asignación de la AUA en la tabla Referencia de asignación de campos: UNSPECIFIED.

Buscando nombre	Descripción
OPEN_FIREWALL	Un firewall está configurado para estar abierto al acceso público.

Resultados admitidos de GCP_SECURITYCENTER_VULNERABILITY

Puedes encontrar la asignación de la UDM en la tabla Referencia de asignación de campos: VULNERABILIDAD.

Buscando nombre	Descripción
DISK_CSEK_DISABLED	Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.
ALPHA_CLUSTER_ENABLED	Las funciones del clúster alfa están habilitadas para un clúster de GKE.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada.
AUTO_UPGRADE_DISABLED	Se inhabilitó la función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
COS_NOT_USED	Las VMs de Compute Engine no usan Container-Optimized OS, diseñado para ejecutar contenedores de Docker de forma segura en Google Cloud .
INTEGRITY_MONITORING_DISABLED	La supervisión de integridad está inhabilitada para un clúster de GKE.
IP_ALIAS_DISABLED	Se creó un clúster de GKE con los rangos de IP de alias inhabilitados.
LEGACY_METADATA_ENABLED	Los metadatos heredados están habilitados en los clústeres de GKE.
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
DATAPROC_IMAGE_OUTDATED	Se creó un clúster de Dataproc con una versión de imagen de Dataproc afectada por vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046).
PUBLIC_DATASET	Un conjunto de datos está configurado para estar abierto al acceso público.
DNSSEC_DISABLED	DNSSEC está inhabilitado para las zonas de Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Una función de IAM de Redis se asigna a nivel de organización o carpeta.
KMS_PUBLIC_KEY	Se puede acceder públicamente a una clave criptográfica de Cloud KMS.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_EXTERNAL_SCRIPTS_ENABLED	La marca de base de datos de secuencias de comandos externas habilitadas para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_ERROR_VERBOSITY	La marca de base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como predeterminada o más estricta.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en “-1”.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró de forma adecuada.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_MIN_MESSAGES	La marca de base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como advertencia.
SQL_LOG_EXECUTOR_STATS_ENABLED	La marca de base de datos log_executor_status para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_HOSTNAME_ENABLED	La marca de base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PARSER_STATS_ENABLED	La marca de base de datos log_parser_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PLANNER_STATS_ENABLED	La marca de base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_STATEMENT_STATS_ENABLED	La marca de base de datos log_statement_stats de una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	La marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD	Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
PUBLIC_LOG_BUCKET	Un bucket de almacenamiento que se usa como receptor de registros es de acceso público.
ACCESSIBLE_GIT_REPOSITORY	Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT.
ACCESSIBLE_SVN_REPOSITORY	Un repositorio de SVN se expone públicamente. Para resolver este problema, quita el acceso no intencional al público en el repositorio de SVN.
ACCESSIBLE_ENV_FILE	Un archivo ENV se expone públicamente. Para resolver este problema, quita el acceso público no intencional al archivo ENV.
CACHEABLE_PASSWORD_INPUT	Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro.
CLEAR_TEXT_PASSWORD	Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, verifica que el dominio esperado coincida por completo con el valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE	Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este problema, configura el encabezado HTTP X-Content-Type-Options con el valor correcto.
INVALID_HEADER	Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
MISMATCHING_SECURITY_HEADER_VALUES	Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
MISSPELLED_SECURITY_HEADER_NAME	Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
MIXED_CONTENT	Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS.
OUTDATED_LIBRARY	Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente.
SERVER_SIDE_REQUEST_FORGERY	Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes.
SESSION_ID_LEAK	Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud de Referer. Esta vulnerabilidad le otorga al dominio receptor acceso al identificador de sesión, que se puede usar para actuar como el usuario o identificarlo de forma única.
SQL_INJECTION	Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este resultado, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta de SQL.
STRUTS_INSECURE_DESERIALIZATION	Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.
XSS	Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario.
XSS_ANGULAR_CALLBACK	La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla.
XSS_ERROR	Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario.
XXE_REFLECTED_FILE_LEAKAGE	Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas.
BASIC_AUTHENTICATION_ENABLED	Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Los clústeres de Kubernetes se deben crear con la opción Certificado de cliente habilitada.
LABELS_NOT_USED	Las etiquetas se pueden usar para desglosar los datos de facturación.
PUBLIC_STORAGE_OBJECT	La LCA del objeto de almacenamiento no debe otorgar acceso a allUsers.
SQL_BROAD_ROOT_LOGIN	El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables.
WEAK_CREDENTIALS	Este detector busca credenciales débiles con métodos de fuerza bruta de ncrack. Servicios admitidos: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	La API de Elasticsearch permite que los llamadores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
EXPOSED_GRAFANA_ENDPOINT	En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido de directorios que permite que cualquier usuario lea cualquier archivo del servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798.
EXPOSED_METABASE	Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y una posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de cargarse. Para obtener más información, consulta CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Este detector verifica si se exponen los extremos sensibles de Actuator de las aplicaciones de Spring Boot. Algunos de los extremos predeterminados, como /heapdump, podrían exponer información sensible. Otros extremos, como /env, pueden provocar la ejecución de código remoto. Actualmente, solo se verifica /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticado.
JAVA_JMX_RMI_EXPOSED	La extensión de administración de Java (JMX) permite la supervisión y el diagnóstico remotos de las aplicaciones de Java. Ejecutar JMX con un extremo de invocación de método remoto no protegido permite que cualquier usuario remoto cree un MBean javax.management.loading.MLet y lo use para crear MBeans nuevos a partir de URLs arbitrarias.
JUPYTER_NOTEBOOK_EXPOSED_UI	Este detector verifica si se expone un notebook de Jupyter sin autenticar. Jupyter permite la ejecución de código remoto de forma predeterminada en la máquina host. Un notebook de Jupyter sin autenticar pone a la VM de host en riesgo de ejecución de código remoto.
KUBERNETES_API_EXPOSED	La API de Kubernetes está expuesta y los llamadores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitraria en el clúster de Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Este detector verifica si una instalación de WordPress está sin terminar. Una instalación de WordPress sin terminar expone la página /wp-admin/install.php, lo que permite que un atacante configure la contraseña de administrador y, posiblemente, comprometa el sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Este detector busca una instancia de Jenkins no autenticada enviando un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia de Jenkins autenticada muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían generar una ejecución de código remota.
APACHE_HTTPD_RCE	Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite que un atacante use un ataque de desbordamiento de ruta de acceso para asignar URLs a archivos fuera de la raíz del documento esperada y ver la fuente de los archivos interpretados, como las secuencias de comandos CGI. Se sabe que este problema se explota en condiciones reales. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta lo siguiente: Registro de CVE CVE-2021-41773 Vulnerabilidades de Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Los atacantes pueden crear un URI para el servidor web Apache que haga que mod_proxy reenvíe la solicitud a un servidor de origen que elija el atacante. Este problema afecta al servidor HTTP Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta lo siguiente: Registro de CVE CVE-2021-40438 Vulnerabilidades de Apache HTTP Server 2.4
CONSUL_RCE	Los atacantes pueden ejecutar código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks establecido en verdadero y la API de HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las verificaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Cómo proteger Consul del riesgo de RCE en configuraciones específicas. Para verificar esta vulnerabilidad, la detección de vulnerabilidades rápida registra un servicio en la instancia de Consul con el extremo REST /v1/health/service, que luego ejecuta una de las siguientes acciones: * Un comando curl a un servidor remoto fuera de la red. Un atacante puede usar el comando curl para extraer datos del servidor. * Un comando printf. Luego, la detección rápida de vulnerabilidades verifica el resultado del comando con el extremo REST /v1/health/service. * Después de la verificación, la Detección rápida de vulnerabilidades limpia y cancela el registro del servicio con el extremo REST /v1/agent/service/deregister/.
DRUID_RCE	Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta funcionalidad está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar el código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta Detalles de CVE-2021-25646.
DRUPAL_RCE	Las versiones de Drupal anteriores a la 7.58, 8.x anteriores a la 8.3.9, 8.4.x anteriores a la 8.4.6 y 8.5.x anteriores a la 8.5.1 son vulnerables a la ejecución remota de código en las solicitudes AJAX de la API de formularios. Las versiones 8.5.x anteriores a la 8.5.11 y 8.6.x anteriores a la 8.6.10 de Drupal son vulnerables a la ejecución de código remoto cuando se habilita el módulo de servicio web RESTful o la API de JSON. Un atacante no autenticado puede aprovechar esta vulnerabilidad con una solicitud POST personalizada.
FLINK_FILE_DISCLOSURE	Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo del sistema de archivos local de JobManager a través de la interfaz REST del proceso de JobManager. El acceso se restringe a los archivos a los que puede acceder el proceso de JobManager.
GITLAB_RCE	En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida correctamente los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovecharse de esta vulnerabilidad para ejecutar comandos de forma remota.
GoCD_RCE	En GoCD 21.2.0 y versiones anteriores, hay un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de recorrido de directorios que permite que un usuario lea cualquier archivo del servidor sin autenticación.
JENKINS_RCE	Las versiones 2.56 y anteriores, y 2.46.1 LTS y anteriores de Jenkins son vulnerables a la ejecución remota de código. Un atacante no autenticado puede activar esta vulnerabilidad con un objeto Java serializado malicioso.
JOOMLA_RCE	Las versiones 1.5.x, 2.x y 3.x de Joomla anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar con un encabezado creado que contenga objetos PHP serializados. Las versiones de Joomla del 3.0.0 al 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar enviando una solicitud POST que contenga un objeto PHP serializado creado.
LOG4J_RCE	En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante ni otros extremos relacionados con la JNDI. Para obtener más información, consulta CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT hasta la versión 2.3.0 permite restablecer la contraseña de forma arbitraria y el acceso de administrador no autenticado proporcionando un valor confirm_hash vacío a verify.php.
OGNL_RCE	Las instancias de Confluence Server y Data Center contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084.
OPENAM_RCE	El servidor OpenAM 14.6.2 y versiones anteriores, y el servidor ForgeRock AM 6.5.3 y versiones anteriores, tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession en varias páginas. El aprovechamiento no requiere autenticación, y la ejecución de código remoto se puede activar enviando una sola solicitud /ccversion/* creada al servidor. La vulnerabilidad existe debido al uso de la aplicación Sun ONE. Para obtener más información, consulta CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad fácil de explotar permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa un servidor Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación del servidor Oracle WebLogic. Para obtener más información, consulta CVE-2020-14882.
PHPUNIT_RCE	Las versiones de PHPUnit anteriores a la 5.6.3 permiten la ejecución de código remoto con una sola solicitud POST no autenticada.
PHP_CGI_RCE	Las versiones de PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos que se ejecutan en el servidor.
PORTAL_RCE	La desserialización de datos no confiables en versiones de Liferay Portal anteriores a la 7.2.1 CE GA2 permite que los atacantes remotos ejecuten código arbitrario a través de servicios web JSON.
REDIS_RCE	Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, los atacantes podrían ejecutar código arbitrario.
SOLR_FILE_EXPOSED	La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede crear directamente una solicitud para habilitar una configuración específica y, en última instancia, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios.
SOLR_RCE	Las versiones de Apache Solr 5.0.0 a Apache Solr 8.3.1 son vulnerables a la ejecución remota de código a través de VelocityResponseWriter si params.resource.loader.enabled se establece como verdadero. Esto permite que los atacantes creen un parámetro que contenga una plantilla de Velocity maliciosa.
STRUTS_RCE	Las versiones de Apache Struts anteriores a la 2.3.32 y 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede activar la vulnerabilidad proporcionando un encabezado Content-Type creado. El complemento REST en Apache Struts entre las versiones 2.1.1 a 2.3.x antes de la 2.3.34 y 2.5.x antes de la 2.5.13 es vulnerable a la ejecución de código remoto cuando se deserializa cargas útiles de XML creadas. Apache Struts Las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuando alwaysSelectFullNamespace se establece como verdadero y existen otras configuraciones de acción.
TOMCAT_FILE_DISCLOSURE	Las versiones 9.x de Apache Tomcat anteriores a la 9.0.31, las 8.x anteriores a la 8.5.51, las 7.x anteriores a la 7.0.100 y todas las 6.x son vulnerables a la divulgación de código fuente y configuración a través de un conector de protocolo Apache JServ expuesto. En algunos casos, se aprovecha para realizar la ejecución de código remoto si se permite la carga de archivos.
VBULLETIN_RCE	Los servidores de vBulletin que ejecutan versiones del 5.0.0 al 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad con un parámetro de consulta en una solicitud de cadena de ruta.
VCENTER_RCE	Las versiones 7.x de VMware vCenter Server anteriores a la 7.0 U1c, 6.7 anteriores a la 6.7 U3l y 6.5 anteriores a la 6.5 U3n son vulnerables a la ejecución remota de código. Un atacante puede activar esta vulnerabilidad subiendo un archivo JavaServer Pages creado a un directorio accesible a través de la Web y, luego, activando la ejecución de ese archivo.
WEBLOGIC_RCE	Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883.
OS_VULNERABILITY	VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine.
UNUSED_IAM_ROLE	El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles de IAM básicos: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio.

Resultados admitidos de GCP_SECURITYCENTER_MISCONFIGURATION

Puedes encontrar la asignación de la UDM en la tabla Referencia de asignación de campos: MISCONFIGURACIÓN.

Buscando nombre	Descripción
API_KEY_APIS_UNRESTRICTED	Hay claves de API que se usan de una forma demasiado general. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las APIs que necesita la aplicación.
API_KEY_APPS_UNRESTRICTED	Hay claves de API que se usan de manera ilimitada y permiten el uso de cualquier app no confiable
API_KEY_EXISTS	Un proyecto usa claves de API en lugar de la autenticación estándar.
API_KEY_NOT_ROTATED	La clave de API no se rotó durante más de 90 días
PUBLIC_COMPUTE_IMAGE	Una imagen de Compute Engine es de acceso público.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing está inhabilitado en una instancia de Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto.
COMPUTE_SECURE_BOOT_DISABLED	Esta VM protegida no tiene habilitado el inicio seguro. El uso del Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Una instancia está configurada para usar la cuenta de servicio predeterminada.
FULL_API_ACCESS	Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.
OS_LOGIN_DISABLED	El Acceso al SO está inhabilitado en esta instancia.
PUBLIC_IP_ADDRESS	Una instancia tiene una dirección IP pública.
SHIELDED_VM_DISABLED	La VM protegida está inhabilitada en esta instancia.
COMPUTE_SERIAL_PORTS_ENABLED	Los puertos en serie están habilitados para una instancia, lo que permite establecer conexiones a la consola en serie de la instancia.
DISK_CMEK_DISABLED	Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
HTTP_LOAD_BALANCER	Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.
IP_FORWARDING_ENABLED	El reenvío de IP está habilitado en las instancias.
WEAK_SSL_POLICY	Una instancia tiene una política de SSL débil.
BINARY_AUTHORIZATION_DISABLED	La autorización binaria está inhabilitada en un clúster de GKE.
CLUSTER_LOGGING_DISABLED	Logging no está habilitado para un clúster de GKE.
CLUSTER_MONITORING_DISABLED	Monitoring está inhabilitado en los clústeres de GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las APIs de Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	La encriptación de Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.
INTRANODE_VISIBILITY_DISABLED	La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.
NETWORK_POLICY_DISABLED	La política de red está inhabilitada en los clústeres de GKE.
NODEPOOL_SECURE_BOOT_DISABLED	El inicio seguro está inhabilitado para un clúster de GKE.
OVER_PRIVILEGED_ACCOUNT	Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster.
OVER_PRIVILEGED_SCOPES	Una cuenta de servicio de nodo tiene permisos de acceso amplios.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy está inhabilitado en un clúster de GKE.
PRIVATE_CLUSTER_DISABLED	Un clúster de GKE tiene un clúster privado inhabilitado.
WORKLOAD_IDENTITY_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
LEGACY_AUTHORIZATION_ENABLED	La autorización heredada está habilitada en los clústeres de GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Los discos de arranque de este grupo de nodos no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
WEB_UI_ENABLED	La IU web de GKE (panel) está habilitada.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada.
AUTO_UPGRADE_DISABLED	Se inhabilitó la función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
BIGQUERY_TABLE_CMEK_DISABLED	Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo.
DATASET_CMEK_DISABLED	Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo.
EGRESS_DENY_RULE_NOT_SET	Una regla de denegación de salida no está configurada en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado.
FIREWALL_RULE_LOGGING_DISABLED	El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.
OPEN_CASSANDRA_PORT	Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico.
OPEN_SMTP_PORT	Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico.
OPEN_REDIS_PORT	Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico.
OPEN_POSTGRESQL_PORT	Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico.
OPEN_POP3_PORT	Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico.
OPEN_ORACLEDB_PORT	Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_NETBIOS_PORT	Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_MYSQL_PORT	Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.
OPEN_MONGODB_PORT	Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico.
OPEN_MEMCACHED_PORT	Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.
OPEN_LDAP_PORT	Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.
OPEN_FTP_PORT	Un firewall está configurado para tener un puerto FTP abierto que permita el acceso genérico.
OPEN_ELASTICSEARCH_PORT	Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico.
OPEN_DNS_PORT	Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico.
OPEN_HTTP_PORT	Un firewall está configurado para tener un puerto HTTP abierto que permita el acceso genérico.
OPEN_DIRECTORY_SERVICES_PORT	Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico.
OPEN_CISCOSECURE_WEBSM_PORT	Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.
OPEN_RDP_PORT	Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico.
OPEN_TELNET_PORT	Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico.
OPEN_FIREWALL	Un firewall está configurado para estar abierto al acceso público.
OPEN_SSH_PORT	Un firewall está configurado para tener un puerto SSH abierto que permita el acceso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION	Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe el principio de “Separación de obligaciones”.
NON_ORG_IAM_MEMBER	Hay un usuario que no usa credenciales de organización. Según CIS Google Cloud Foundations 1.0, por el momento, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Un usuario tiene el rol de Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica.
ADMIN_SERVICE_ACCOUNT	Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no se deben asignar a las cuentas de servicio creadas por el usuario.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	La clave de una cuenta de servicio no se rota durante más de 90 días.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Un usuario administra una clave de cuenta de servicio.
PRIMITIVE_ROLES_USED	Un usuario tiene el rol básico de propietario, escritor o lector. Estos roles son demasiado permisivos y no deben usarse.
KMS_ROLE_SEPARATION	No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de los siguientes roles de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, encriptador o desencriptador.
OPEN_GROUP_IAM_MEMBER	Se usa una cuenta de Grupos de Google a la que se puede unirse sin aprobación como principal de la política de permisos de IAM.
KMS_KEY_NOT_ROTATED	La rotación no está configurada en una clave de encriptación de Cloud KMS. Las claves se deben rotar en un período de 90 días.
KMS_PROJECT_HAS_OWNER	Un usuario tiene permisos de propietario en un proyecto que tiene claves criptográficas.
TOO_MANY_KMS_USERS	Hay más de tres usuarios de claves criptográficas.
OBJECT_VERSIONING_DISABLED	El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.
LOCKED_RETENTION_POLICY_NOT_SET	Una política de retención bloqueada no se establece para los registros.
BUCKET_LOGGING_DISABLED	Hay un bucket de almacenamiento sin el registro habilitado.
LOG_NOT_EXPORTED	Hay un recurso que no tiene configurado un receptor de registros adecuado.
AUDIT_LOGGING_DISABLED	Se inhabilitó el registro de auditoría para este recurso.
MFA_NOT_ENFORCED	Hay usuarios que no usan la verificación en 2 pasos.
ROUTE_NOT_MONITORED	Las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC.
OWNER_NOT_MONITORED	Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto.
AUDIT_CONFIG_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría.
BUCKET_IAM_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Las métricas y las alertas de registro no están configuradas para supervisar los cambios de roles personalizados.
FIREWALL_NOT_MONITORED	Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de nube privada virtual (VPC).
NETWORK_NOT_MONITORED	Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC.
SQL_INSTANCE_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.
DEFAULT_NETWORK	La red predeterminada existe en un proyecto.
DNS_LOGGING_DISABLED	El registro DNS en una red de VPC no está habilitado.
PUBSUB_CMEK_DISABLED	Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
PUBLIC_SQL_INSTANCE	Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.
SSL_NOT_ENFORCED	Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL.
AUTO_BACKUP_DISABLED	Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.
SQL_CMEK_DISABLED	Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita y habilita detectores.
SQL_LOG_CHECKPOINTS_DISABLED	La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_CONNECTIONS_DISABLED	La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DISCONNECTIONS_DISABLED	La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DURATION_DISABLED	La marca de la base de datos log_duration para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_LOCK_WAITS_DISABLED	La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_STATEMENT	La marca de base de datos log_statement para una instancia de Cloud SQL para PostgreSQL no está configurada como Ddl (todas las declaraciones de definición de datos).
SQL_NO_ROOT_PASSWORD	Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita y habilita detectores.
SQL_PUBLIC_IP	Una base de datos de Cloud SQL tiene una dirección IP pública.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no se configuró de forma adecuada.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement de una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	La marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL	Un bucket de Cloud Storage es de acceso público.
BUCKET_POLICY_ONLY_DISABLED	El acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket, no está configurado.
BUCKET_CMEK_DISABLED	Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita y habilita detectores.
FLOW_LOGS_DISABLED	Hay una subred de VPC que tiene registros de flujo inhabilitados.
PRIVATE_GOOGLE_ACCESS_DISABLED	Existen subredes privadas sin acceso a las APIs públicas de Google.
kms_key_region_europe	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
kms_non_euro_region	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
LEGACY_NETWORK	Existe una red heredada en un proyecto.
LOAD_BALANCER_LOGGING_DISABLED	El registro está inhabilitado para el balanceador de cargas.

Resultados admitidos de GCP_SECURITYCENTER_POSTURE_VIOLATION

Puedes encontrar la asignación de la UDM en la tabla Referencia de asignación de campos: POSTURE VIOLATION.

Buscando nombre	Descripción
SECURITY_POSTURE_DRIFT	Desviación de las políticas definidas dentro de la postura de seguridad El servicio de postura de seguridad lo detecta.
SECURITY_POSTURE_POLICY_DRIFT	El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de la postura.
SECURITY_POSTURE_POLICY_DELETE	El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DRIFT	El servicio de estado de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de estado.
SECURITY_POSTURE_DETECTOR_DELETE	El servicio de estado de seguridad detectó que se borró un módulo personalizado de las estadísticas del estado de la seguridad. Esta eliminación se produjo fuera de una actualización de postura.

Referencia de la asignación de campos

En esta sección, se explica cómo el analizador de Google Security Operations asigna los campos de registro de Security Command Center a los campos del modelo de datos unificado (UDM) de Google Security Operations para los conjuntos de datos.

Referencia de asignación de campos: campos de registro sin procesar a campos de UDM

En la siguiente tabla, se muestran los campos de registro y las asignaciones de UDM correspondientes para los resultados de la Detección de amenazas a eventos de Security Command Center.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de la AUA `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de la UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Si el valor del campo de registro `message` coincide con el patrón de expresión regular `kubernetes`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en CLUSTER. De lo contrario, si el valor del campo de registro `message` coincide con la expresión regular `kubernetes.*?pods`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en POD.
	`about.resource.attribute.cloud.environment`	El campo UDM `about.resource.attribute.cloud.environment` se establece como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo de la UDM `extension.auth.type` se establece en `SSO`.
	`extension.mechanism`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de la UDM `extension.mechanism` se establece en `USERNAME_PASSWORD`.
	`extensions.auth.type`	Si el valor del campo de registro `principal.user.user_authentication_status` es igual a `ACTIVE`, el campo de la UDM `extensions.auth.type` se establece en `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.loadBalancerName` se asigna al campo de la UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de la UDM `intermediary.resource.resource_type` se establece en `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, el `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`.
	`metadata.product_name`	El campo UDM `metadata.product_name` se establece como `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	El campo UDM `metadata.vendor_name` se establece como `Google`.
	`network.application_protocol`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de la UDM `network.application_protocol` se establece en `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.asn` se asigna al campo de la UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.carrierName` se asigna al campo de la UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.reverseDnsDomain` se asigna al campo de UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseClass` se asigna al campo de la UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Si el valor del campo de registro `category` coincide con la expresión regular `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseValue` se asigna al campo de la UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.domainName` se asigna al campo de la UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.ttl` se asigna al campo de la UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseType` se asigna al campo de la UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.authAnswer` se asigna al campo de UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryName` se asigna al campo de UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryType` se asigna al campo de UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseCode` se asigna al campo de UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.callerUserAgent` se asigna al campo de la UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.callerUserAgent` se asigna al campo de UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` se asigna al campo de la UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de la UDM `network.ip_protocol` se establece en uno de los siguientes valores: `ICMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `1` o `ICMP`. `IGMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `2` o `IGMP`. `TCP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `6` o `TCP`. `UDP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `17` o `UDP`. `IP6IN4` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `41` o `IP6IN4`. `GRE` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `47` o `GRE`. `ESP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `50` o `ESP`. `EIGRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `88` o `EIGRP`. `ETHERIP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `97` o `ETHERIP`. `PIM` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `103` o `PIM`. `VRRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `112` o `VRRP`. `UNKNOWN_IP_PROTOCOL` si el valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a cualquier otro valor.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.organizationName` se asigna al campo de UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.behaviorPeriod` se asigna al campo de la UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.sourceIp` se asigna al campo de la UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo de la UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.callerIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` se asigna al campo de la UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.ip` se asigna al campo de la UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.sourceIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, y el valor del campo de registro `sourceProperties.properties.ipConnection.srcIp` no es igual a `sourceProperties.properties.indicatorContext.ipAddress`, el campo de registro `sourceProperties.properties.indicatorContext.ipAddress` se asigna al campo de la UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.callerIp` se asigna al campo de la UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (obsoleto)	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.scannerDomain` se asigna al campo de la UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.scannerDomain` se asigna al campo de la UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (obsoleto)	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` se asigna al campo `principal.labels.key/value` y UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` se asigna al campo de la UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.countryCode` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.location` se asigna al campo de la UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.location` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.anomalousLocation` se asigna al campo de la UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcPort` se asigna al campo de UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobLink` se asigna al campo de la UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` se asigna al campo de la UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.jobId` se asigna al campo de UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.subnetworkName` se asigna al campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.projectId` se asigna al campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `principal.resource_ancestors.name` y el campo de UDM `principal.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la expresión regular `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de la UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Si el valor del campo de registro `sourceProperties.properties.projectId` no está vacío, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de la UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` se asigna al campo de la UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.sourceInstanceDetails` se asigna al campo de la UDM `principal.resource.name`.
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `serviceAccount`, el campo de la UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `user`, el campo de la UDM `principal.user.account_type` se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de la UDM `principal.user.attribute.labels.key` se establece en `rawUserAgent` y el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` se asigna al campo de la UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.userEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Persistence: New Geography`, el campo de registro `access.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.userEmail` se asigna al campo de la UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo de registro `sourceProperties.properties.ssoState` se asigna al campo de UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.userName` se asigna al campo de la UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.threatIntelligenceSource` se asigna al campo de la UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo de la UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo de UDM `security_result.about.resource.name`. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece en `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.allowedServices.serviceName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece en `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedServices.serviceName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece en `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.accessLevels.policyName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece en `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?security`, el campo de la UDM `security_result.about.user.attribute.roles.name` se establece en `security`. Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?technical`, el campo de la UDM `security_result.about.user.attribute.roles.name` se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de la UDM `security_result.action` se establece en `BLOCK`. Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, y el valor del campo de registro `sourceProperties.properties.attempts.authResult` es igual a `SUCCESS`, el campo de la UDM `security_result.action` se establece en `BLOCK`. De lo contrario, el campo de la UDM `security_result.action` se establece en `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedResources.action` se asigna al campo de la UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedServices.action` se asigna al campo de la UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.allowedServices.action` se asigna al campo de la UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.accessLevels.action` se asigna al campo de la UDM `security_result.action_details`.
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo de la UDM `security_result.alert_state` se establece en `ALERTING`. De lo contrario, el campo de la UDM `security_result.alert_state` se establece en `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo de la UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.authResult` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_industry` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_name` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.lasthit` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.myVote` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.support_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_name` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.upVotes` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.downVotes` se asigna al campo de la UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, el campo de la UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo de la UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo de UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` se asigna al campo de la UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.description` se asigna al campo de la UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` se asigna al campo de la UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de la UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo de la UDM `security_result.priority` se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo de la UDM `security_result.priority` se establece en `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.violationReason` se asigna al campo de la UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo de la UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `parent` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` se asigna al campo de UDM `src.resource_ancestors.name` y el campo de UDM `src.resource_ancestors.resource_type` se establece en `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `resourceName` se asigna al campo de la UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolder` se asigna al campo de la UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.projectNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.organizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de la UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de la UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Si el valor del campo de registro `resource.type` coincide con el patrón de expresión regular `(?i)google.compute.Instance or google.container.Cluster`, el campo de registro `resource.displayName` se asigna al campo de la AUA `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.projectId` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.backupId` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `src.resource.attribute.labels.key/value` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.tableId` se asigna al campo de UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo de UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.serviceName` se asigna al campo de UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.domainName` se asigna al campo de UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.domains.0` se asigna al campo de UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` se asigna al campo de la UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` se asigna al campo de la UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` se asigna al campo de la UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` se asigna al campo de la UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` se asigna al campo de la UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.permissions` se asigna al campo de la UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` se asigna al campo de la UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` se asigna al campo de la UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` se asigna al campo de la UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` se asigna al campo de la UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.roleName` se asigna al campo de la UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` se asigna al campo de la UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` se asigna al campo de la UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` se asigna al campo de la UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destIp` se asigna al campo de UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (obsoleto)	Si el valor del campo de registro `category` es igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.methodName` se asigna al campo de la UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Si el valor del campo de registro `category` es igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.methodName` se asigna al campo de UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.network.location` se asigna al campo de UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destPort` se asigna al campo de UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.query` se asigna al campo de la UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	El campo de registro `containers.labels.name` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.key` y el campo de registro `containers.labels.value` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.projectId` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.subnetworkName` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkName` se asigna al campo de UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkId` se asigna al campo de UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`containers.name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` se asigna al campo de la UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` se asigna al campo de la UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.gceInstanceId` se asigna al campo de UDM `target.resource_ancestors.product_object_id` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo de la UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	El `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.product_object_id`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `target.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `target.resource.product_object_id`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `target.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de la UDM `target.resource.attribute.labels.key` se establece en `exportScope` y el campo de registro `sourceProperties.properties.exportToGcs.exportScope` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.objectName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.originalUri` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.metadataKeyOperation` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketAccess` se asigna al campo de la UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`resourceName`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`exfiltration.targets.name`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.vmName` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.instanceDetails` se asigna al campo de la UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de la UDM `target.resource_ancestors.name`, y el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.attribute.name` y el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de la UDM `target.resource.name` y el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` se asigna al campo de la UDM `target.resource.attribute.labels`, y el campo de la UDM `target.resource.resource_type` se establece en `TABLE`. De lo contrario, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.instanceId` se asigna al campo de la UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de la UDM `target.resource.resource_subtype`. De lo contrario, si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de la UDM `target.resource.resource_subtype` se establece en `Privileged Group`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de la UDM `target.resource.resource_subtype` se establece en `BigQuery`.
	`target.resource.resource_type`	Si el valor del campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionType` coincide con la expresión regular `BUCKET`, el campo de la UDM `target.resource.resource_type` se establece en `STORAGE_BUCKET`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de la UDM `target.resource.resource_type` se establece en `TABLE`.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `target.url`. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.gcsUri` se asigna al campo de la UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.requestUrl` se asigna al campo de la UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.policyLink` se asigna al campo de la UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.notSeenInLast` se asigna al campo de la UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.username` se asigna al campo de UDM `target.user.userid`. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo de UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo de la UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (obsoleto)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (obsoleto)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Added Binary Executed` o `Added Library Loaded`, el campo de registro `sourceProperties.VM_Instance_Name` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo de registro `sourceProperties.Backend_Service` se asigna al campo de UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo de la UDM `target.resource.resource_type` se establece en `BACKEND_SERVICE`. Si el valor del campo de registro `category` es igual a `Configurable Bad Domain`, el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`.
	`is_alert`	Si el valor del campo de registro `state` es igual a `ACTIVE`, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de la UDM `is_alert` se establece en `true`. De lo contrario, el campo de la UDM `is_alert` se establece en `false`.
	`is_significant`	Si el valor del campo de registro `state` es igual a `ACTIVE`, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de la UDM `is_significant` se establece en `true`. De lo contrario, el campo de la UDM `is_significant` se establece en `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : Se extrae `user_id` del campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` y, luego, el campo `user_id` se asigna al campo de UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : Se extrae `user_id` del campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` y, luego, el campo `user_id` se asigna al campo de UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok extrae `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `region` se asigna al campo de UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok extrae `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `asset_prod_obj_id` se asigna al campo de UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok : Extrajo `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `zone_suffix` se asigna al campo de UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok : Extrajo `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `project_name` se asigna al campo de UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.methodName` se asigna al campo de UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.methodName` se asigna al campo de UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.serviceName` se asigna al campo de UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.serviceName` se asigna al campo de UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.attemptTimes` se asigna al campo de UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.attemptTimes` se asigna al campo de UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` se asigna al campo de UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` se asigna al campo de la UDM `additional.fields`.
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	Si el valor del campo de registro `category` contiene uno de los siguientes valores, el campo de registro `resource.resourcePathString` se asigna al campo de la UDM `src.resource.attribute.labels[resource_path_string]`. `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` De lo contrario, el campo de registro `resource.resourcePathString` se asigna al campo de UDM `target.resource.attribute.labels[resource_path_string]`.

Referencia de asignación de campos: identificador de evento a tipo de evento

Identificador de evento	Tipo de evento	Categoría de seguridad
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Las siguientes tablas contienen los tipos de eventos y la asignación de campos de UDM para Security Command Center: clases de resultados VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.

Categoría VULNERABILIDAD al tipo de evento de UDM

En la siguiente tabla, se enumera la categoría VULNERABILIDAD y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento	Categoría de seguridad
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Categoría MISCONFIGURATION al tipo de evento de la AUA

En la siguiente tabla, se muestra la categoría MISCONFIGURATION y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoría OBSERVACIÓN al tipo de evento de la AUA

En la siguiente tabla, se muestra la categoría OBSERVACIÓN y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento
Persistencia: Se agregó la clave SSH del proyecto	SETTING_MODIFICATION
Persistencia: Agrega un rol sensible	RESOURCE_PERMISSIONS_CHANGE
Impacto: Se creó una instancia de GPU	USER_RESOURCE_CREATION
Impacto: Se crearon muchas instancias	USER_RESOURCE_CREATION

Categoría ERROR al tipo de evento de la AUA

En la siguiente tabla, se muestra la categoría ERROR y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Categoría UNSPECIFIED al tipo de evento de la AUA

En la siguiente tabla, se muestra la categoría UNSPECIFIED y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento	Categoría de seguridad
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Categoría POSTURE_VIOLATION al tipo de evento de UDM

En la siguiente tabla, se enumera la categoría POSTURE_VIOLATION y sus correspondientes tipos de eventos de la UDM.

Identificador de evento	Tipo de evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referencia de asignación de campos: VULNERABILIDAD

En la siguiente tabla, se enumeran los campos de registro de la categoría VULNERABILIDAD y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Se extrajo `region` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	Se extrajo `asset_prod_obj_id` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	Se extrajo `zone_suffix` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referencia de asignación de campos: MISCONFIGURATION

En la siguiente tabla, se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referencia de asignación de campos: OBSERVATION

En la siguiente tabla, se enumeran los campos de registro de la categoría OBSERVACIÓN y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referencia de asignación de campos: ERROR

En la siguiente tabla, se enumeran los campos de registro de la categoría ERROR y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de asignación de campos: UNSPECIFIED

En la siguiente tabla, se enumeran los campos de registro de la categoría UNSPECIFIED y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de asignación de campos: POSTURE_VIOLATION

En la siguiente tabla, se enumeran los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.

Campo de registro	Asignación de UDM	Lógica
`finding.resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `finding.resourceName` no está vacío, el campo de registro `finding.resourceName` se asigna al campo de la UDM `target.resource.name`. El campo `project_name` se extrae del campo de registro `finding.resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `resourceName` no está vacío, el campo de registro `resourceName` se asigna al campo de la UDM `target.resource.name`. El campo `project_name` se extrae del campo de registro `resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo de la UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `finding.cloudProvider` contiene uno de los siguientes valores, el campo de registro `finding.cloudProvider` se asigna al campo de la UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `cloudProvider` contiene uno de los siguientes valores, el campo de registro `cloudProvider` se asigna al campo de la UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Si el valor del campo de registro `resource.cloudProvider` contiene uno de los siguientes valores, el campo de registro `resource.cloudProvider` se asigna al campo de la UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campos comunes: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

En la siguiente tabla, se enumeran los campos comunes de SECURITY COMMAND CENTER: las categorías VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION y TOXIC_COMBINATION, y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de la AUA `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de la UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	El campo UDM `target.resource_ancestors.resource_type` se establece como `CLUSTER`.
	`about.resource.attribute.cloud.environment`	El campo UDM `about.resource.attribute.cloud.environment` se establece como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, el `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la expresión regular `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de la UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `serviceAccount`, el campo de la UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `user`, el campo de la UDM `principal.user.account_type` se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `access.principalEmail` no está vacío y coincide con la expresión regular `^.+@.+$`, el campo de registro `access.principalEmail` se asigna al campo de la UDM `principal.user.email_addresses`.`access.principalEmail`
`access.principalEmail`	`principal.user.userid`	Si el valor del campo de registro `access.principalEmail` no está vacío y no coincide con la expresión regular `^.+@.+$`, el campo de registro `access.principalEmail` se asigna al campo de la AUA `principal.user.userid`.`access.principalEmail`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?security`, el campo de la UDM `security_result.about.user.attribute.roles.name` se establece en `security`. Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?technical`, el campo de la UDM `security_result.about.user.attribute.roles.name` se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo de la UDM `security_result.alert_state` se establece en `ALERTING`. De lo contrario, el campo de la UDM `security_result.alert_state` se establece en `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo de UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, el campo de la UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo de la UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo de UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de la UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo de la UDM `security_result.priority` se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo de la UDM `security_result.priority` se establece en `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo de la UDM `src.process.command_line`. De lo contrario, el campo de registro `database.query` se asigna al campo de la UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`. De lo contrario, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.folders.resourceFolderDisplay` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.value`. De lo contrario, el campo de registro `resource.gcpMetadata.folders.resourceFolderDisplay` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.folders.resourceFolder` se asigna al campo de la UDM `src.resource_ancestors.name`. De lo contrario, el campo de registro `resource.gcpMetadata.folders.resourceFolder` se asigna al campo de la UDM `target.resource_ancestors.name`.
`resource.organization`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.organization` se asigna al campo de la UDM `src.resource_ancestors.name`. De lo contrario, el campo de registro `resource.organization` se asigna al campo de la UDM `target.resource_ancestors.name`.
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.organization` se asigna al campo de la UDM `src.resource_ancestors.name`. De lo contrario, el campo de registro `resource.gcpMetadata.organization` se asigna al campo de la UDM `target.resource_ancestors.name`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.parentDisplayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.parentDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.gcpMetadata.parentDisplayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.parentName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.parent` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.gcpMetadata.parent` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.projectDisplayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.gcpMetadata.projectDisplayName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.gcpMetadata.projectDisplayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de la UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de la UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de la UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de la UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de la UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de la UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.sources.components` se asigna al campo de la UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `resourceName` se asigna al campo de UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo de UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo de la UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	El `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.product_object_id`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `target.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `target.resource.product_object_id`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `target.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, el `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `exfiltration.target.name` se asigna al campo de UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de UDM `target.resource.name`. De lo contrario, el campo de registro `resourceName` se asigna al campo de UDM `target.resource.name`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RegionCode`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RemoteHost`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `UserAgent`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RequestUriPath`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.compromised_account` se asigna al campo de UDM `principal.user.userid` y el campo de UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.project_identifier` se asigna al campo de UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.private_key_identifier` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (obsoleto)	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.action_taken` se asigna al campo de UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.action_taken` se asigna al campo de UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (obsoleto)	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.finding_type` se asigna al campo de UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.finding_type` se asigna al campo de UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.url` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.security_result.summary` se asigna al campo de UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

¿Qué sigue?

Transferencia de datos a Google Security Operations

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.