Esta página foi traduzida pela API Cloud Translation.

Coletar descobertas do Security Command Center

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar logs do Security Command Center configurando o Security Command Center e processando as descobertas no Google Security Operations. Este documento também lista os eventos compatíveis.

Para mais informações, consulte Ingestão de dados no Google Security Operations e Como exportar descobertas do Security Command Center para o Google Security Operations. Uma implantação típica consiste no Security Command Center e no feed do Google Security Operations configurado para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

Google Cloud: o sistema a ser monitorado em que o Security Command Center está instalado.
Descobertas do Event Threat Detection do Security Command Center: coleta informações da fonte de dados e gera descobertas.
Google Security Operations: retém e analisa os registros do Security Command Center.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador do Security Command Center com os seguintes rótulos de ingestão:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configurar o Security Command Center e Google Cloud para enviar descobertas ao Google Security Operations

Ativar o Security Command Center.
Verifique se todos os sistemas na implantação estão configurados no fuso horário UTC.
Ative a transferência de descobertas do Security Command Center.

Descobertas de detecção de ameaças a eventos com suporte

Esta seção lista as descobertas do Event Threat Detection compatíveis. Para saber mais sobre as regras e descobertas do Event Threat Detection do Security Command Center, consulte Regras do Event Threat Detection.

Nome de descoberta	Descrição
Verificação ativa: Log4j vulnerável a RCE	Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciadas por verificadores de vulnerabilidade do Log4j suportados.
Força bruta: SSH	Detecção da força bruta do SSH em um host
Acesso às credenciais: participante externo adicionado ao grupo privilegiado	Detecta quando um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google.
Acesso às credenciais: grupo privilegiado aberto para público	Detecta quando um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google.
Acesso às credenciais: papel confidencial concedido ao grupo híbrido	Detecta quando papéis confidenciais são concedidos a um Grupo do Google com participantes externos. Para saber mais, consulte Alterações inseguras no Grupo do Google.
Evasão de defesa: modificar o VPC Service Control	Detecta uma mudança em um perímetro do VPC Service Control que levaria a uma redução na proteção oferecida por esse perímetro.
Descoberta: pode receber verificações de objetos sensíveis do Kubernetes	Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no Google Kubernetes Engine (GKE) eles podem consultar usando o comando kubectl auth can-i get.
Descoberta: autoinvestigação da conta de serviço	Detecção de uma credencial de conta de serviço do Identity and Access Management (IAM) usada para investigar os papéis e as permissões associados a essa mesma conta de serviço.
Evasão: acesso de proxy de anonimização	Detecção de Google Cloud modificações de serviço originadas de endereços IP de proxy anônimos, como endereços IP de Tor.
Exfiltração: exfiltração de dados do BigQuery	Detecta os seguintes cenários: Recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência Tenta acessar os recursos do BigQuery protegidos pelo VPC Service Control.
Exfiltração: extração de dados do BigQuery	Detecta os seguintes cenários: Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage fora da organização. Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage acessível ao público de propriedade dessa organização.
Exfiltração: dados do BigQuery para o Google Drive	Detecta os seguintes cenários: Um recurso do BigQuery pertencente à organização protegida é salvo, por meio de operações de extração, em uma pasta do Google Drive.
Exfiltração: exfiltração de dados do Cloud SQL	Detecta os seguintes cenários: Dados de instâncias ativas exportados para um bucket do Cloud Storage fora da organização. Dados de instâncias ativas exportados para um bucket do Cloud Storage de propriedade da organização e acessível publicamente.
Exfiltração: backup de restauração do Cloud SQL para organização externa	Detecta quando o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização.
Exfiltração: concessão privilegiada demais do Cloud SQL	Detecta quando um usuário ou papel do Cloud SQL Postgres recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Defesa por danos: autenticação forte desativada	A verificação em duas etapas foi desativada para a organização.
Defesa de danos: verificação em duas etapas desativada	Um usuário desativou a verificação em duas etapas.
Acesso inicial: conta desativada	A conta de um usuário foi suspensa devido à atividade suspeita.
Acesso inicial: vazamento de senha desativado	A conta de um usuário foi desativada porque foi detectado um vazamento de senha.
Acesso inicial: ataque baseado no governo	Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador.
Acesso inicial: tentativa de comprometimento de Log4j	Detecta pesquisas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. Essas descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento.
Acesso inicial: login suspeito bloqueado	Um login suspeito na conta de um usuário foi detectado e bloqueado.
Malware Log4j: domínio inválido	Detecção de tráfego do Log4j com base em uma conexão ou pesquisa de um domínio conhecido usado em ataques do Log4j.
Malware Log4j: IP inválido	Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j.
Malware: domínio inválido	Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido.
Malware: IP inválido	Detecção de malware com base em uma conexão com um endereço IP inválido conhecido.
Malware: domínio criptografado de criptomineração	Detecção de criptomineração com base em uma conexão ou uma pesquisa de um domínio de mineração de criptomoedas conhecido.
Malware: criptomoedas com IP inválido	Detecção de mineração de criptomoedas com base em uma conexão com um endereço IP de mineração conhecido.
DoS de saída	Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do Compute Engine	Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do Compute Engine	Detecção de uma modificação no valor do script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: concessão anômala de IAM	Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Esse detector usa as políticas do IAM de uma organização como contexto. Se ocorrer uma concessão de IAM confidencial a um membro externo e houver menos de três políticas do IAM semelhantes a ela, esse detector vai gerar uma descoberta.
Persistência: novo método de API	Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica	Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes.
Persistência: novo user agent	Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos.
Persistência: alternância de SSO	A configuração Ativar SSO (logon único) na conta de administrador foi desativada.
Persistência: configurações de SSO alteradas	As configurações de SSO da conta de administrador foram alteradas.
Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes	Para escalonar o privilégio, uma pessoa mal-intencionada tentou modificar os objetos ClusterRole e ClusterRoleBinding cluster-admin usando uma solicitação PUT ou PATCH.
Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre.	Um usuário possivelmente malicioso criou uma solicitação de assinatura de certificado (CSR) mestre do Kubernetes, que concede acesso ao cluster-admin.
Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes	Uma pessoa mal-intencionada tentou criar novos objetos RoleBinding ou ClusterRoleBinding de cluster-admin para escalonar o privilégio.
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas.	Uma pessoa mal-intencionada consultou uma solicitação de assinatura de certificado (CSR) com o comando kubectl usando credenciais de inicialização comprometidas.
Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes	Uma pessoa mal-intencionada criou pods contendo contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios. Um contêiner privilegiado tem o campo "privileged" definido como "true". Um contêiner com recursos de escalonamento de privilégios tem o campo "allowPrivilegeEscalation" definido como "true".
Acesso inicial: criação de chave em uma conta de serviço inativa	Detecta eventos em que uma chave é criada para uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Árvore de processos	O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não deve gerar um processo de shell, o detector vai acionar uma descoberta.
Shell filho inesperado	O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não deve gerar um processo de shell, o detector vai acionar uma descoberta.
Execução: adição de binário malicioso executado	O detector procura um binário em execução que não fazia parte da imagem do contêiner original e foi identificado como malicioso com base na inteligência de ameaças.
Execução: binário malicioso modificado executado	O detector procura um binário em execução que foi originalmente incluído na imagem do contêiner, mas foi modificado durante a execução e identificado como malicioso com base na inteligência de ameaças.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador	Detecta quando uma solicitação delegada em várias etapas anômala é encontrada para uma atividade administrativa.
Conta de implantação forçada usada: break_glass_account	Detecta o uso de uma conta de acesso emergencial (implantação forçada)
Domínio inválido configurável: APT29_Domains	Detecta uma conexão com um nome de domínio especificado
Concessão de papel inesperada: papéis proibidos	Detecta quando um papel especificado é concedido a um usuário
IP inválido configurável	Detecta uma conexão com um endereço IP especificado
Tipo inesperado de instância do Compute Engine	Detecta a criação de instâncias do Compute Engine que não correspondem a um tipo especificado de instância ou configuração.
Imagem de origem inesperada do Compute Engine	Detecta a criação de uma instância do Compute Engine com uma imagem ou família de imagens que não corresponde a uma lista especificada
Região inesperada do Compute Engine	Detecta a criação de uma instância do Compute Engine em uma região que não está em uma lista especificada.
Papel personalizado com permissão proibida	Detecta quando um papel personalizado com qualquer uma das permissões do IAM especificadas é concedido a um principal.
Chamada de API do Cloud inesperada	Detecta quando um principal especificado chama um método especificado em um recurso especificado. Uma descoberta só é gerada se todas as expressões regulares forem correspondidas em uma única entrada de registro.

Resultados de GCP_SECURITYCENTER_ERROR com suporte

O mapeamento da UDM pode ser encontrado na tabela Referência de mapeamento de campo: ERRO.

Nome de descoberta	Descrição
VPC_SC_RESTRICTION	O Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço, e a conta de serviço do Security Command Center não tem acesso ao perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	O projeto configurado para exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar descobertas para o Logging.
API_DISABLED	Uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center.
KTD_IMAGE_PULL_FAILURE	O Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) do gcr.io, o host de imagem do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection. Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	O Container Threat Detection não pode gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.

Descobertas de GCP_SECURITYCENTER_OBSERVATION com suporte

Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campo: OBSERVAÇÃO.

Nome de descoberta	Descrição
Persistência: chave SSH do projeto adicionada	Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias.
Persistência: adicionar papel sensível	Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias.

Descobertas de GCP_SECURITYCENTER_UNSPECIFIED com suporte

Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campo: UNSPECIFIED.

Nome de descoberta	Descrição
OPEN_FIREWALL	Um firewall está configurado para ser aberto ao acesso público.

Resultados de GCP_SECURITYCENTER_VULNERABILITY com suporte

O mapeamento da UDM pode ser encontrado na tabela Referência de mapeamento de campo: VULNERABILITY.

Nome de descoberta	Descrição
DISK_CSEK_DISABLED	Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Detector de casos especiais.
ALPHA_CLUSTER_ENABLED	Os recursos do cluster Alfa estão ativados para um cluster do GKE.
AUTO_REPAIR_DISABLED	O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED	O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED	Os nós protegidos do GKE não estão ativados em um cluster
COS_NOT_USED	As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.
INTEGRITY_MONITORING_DISABLED	O monitoramento de integridade está desativado para um cluster do GKE.
IP_ALIAS_DISABLED	Um cluster do GKE foi criado com intervalos de IP de alias desativados.
LEGACY_METADATA_ENABLED	Os metadados legados são ativados nos clusters do GKE.
RELEASE_CHANNEL_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
DATAPROC_IMAGE_OUTDATED	Um cluster do Dataproc foi criado com uma versão da imagem do Dataproc afetada pelas vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).
PUBLIC_DATASET	Um conjunto de dados está configurado para ser aberto ao acesso público.
DNSSEC_DISABLED	O DNSSEC está desativado para zonas do Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Um papel do Redis IAM é atribuído no nível da organização ou da pasta.
KMS_PUBLIC_KEY	Uma chave criptográfica do Cloud KMS é acessível publicamente.
SQL_CONTAINED_DATABASE_AUTHENTICATION	A flag de banco de dados para autenticação do banco de dados contido de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	A flag de banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_EXTERNAL_SCRIPTS_ENABLED	A flag de banco de dados "scripts externos ativados" de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE	A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_ERROR_VERBOSITY	A flag do banco de dados log_error_verbosity para uma instância do Cloud SQL para PostgreSQL não está definida como padrão ou mais rigorosa.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	A flag de banco de dados "log_min_duration_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como "-1".
SQL_LOG_MIN_ERROR_STATEMENT	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
SQL_LOG_MIN_MESSAGES	A flag de banco de dados log_min_messages de uma instância do Cloud SQL para PostgreSQL não está definida como um aviso.
SQL_LOG_EXECUTOR_STATS_ENABLED	A flag de banco de dados "log_executor_status" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_HOSTNAME_ENABLED	A flag de banco de dados "log_hostname" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PARSER_STATS_ENABLED	A flag de banco de dados "log_parser_stats" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PLANNER_STATS_ENABLED	A flag de banco de dados "log_planner_stats" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_STATEMENT_STATS_ENABLED	A flag de banco de dados "log_statement_stats" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_TEMP_FILES	A flag do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED	A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED	A flag de banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625	A flag de banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED	A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD	Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
PUBLIC_LOG_BUCKET	Um bucket de armazenamento usado como coletor de registros é acessível publicamente.
ACCESSIBLE_GIT_REPOSITORY	Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.
ACCESSIBLE_SVN_REPOSITORY	Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN.
ACCESSIBLE_ENV_FILE	Um arquivo ENV é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao arquivo ENV.
CACHEABLE_PASSWORD_INPUT	As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.
CLEAR_TEXT_PASSWORD	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação de origem antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Para caracteres curinga de subdomínio, adicione o ponto no domínio raiz ao início, por exemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação de origem antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Por exemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver esse problema, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.
INVALID_HEADER	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.
MISMATCHING_SECURITY_HEADER_VALUES	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.
MISSPELLED_SECURITY_HEADER_NAME	Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.
MIXED_CONTENT	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.
OUTDATED_LIBRARY	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.
SERVER_SIDE_REQUEST_FORGERY	Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações.
SESSION_ID_LEAK	Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação de referência. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.
SQL_INJECTION	Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
STRUTS_INSECURE_DESERIALIZATION	Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
XSS	Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.
XSS_ANGULAR_CALLBACK	Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular.
XSS_ERROR	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.
XXE_REFLECTED_FILE_LEAKAGE	Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.
BASIC_AUTHENTICATION_ENABLED	O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Os clusters do Kubernetes precisam ser criados com certificados do cliente ativados.
LABELS_NOT_USED	Rótulos podem ser usados para decompor informações de faturamento
PUBLIC_STORAGE_OBJECT	A ACL de objetos de armazenamento não pode conceder acesso a allUsers.
SQL_BROAD_ROOT_LOGIN	O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados
WEAK_CREDENTIALS	Esse detector verifica credenciais fracas usando métodos de força bruta ncrack. Serviços com suporte: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	A API Elasticsearch permite que os autores de chamadas realizem consultas arbitrárias, escrevam e executem scripts e adicionem mais documentos ao serviço.
EXPOSED_GRAFANA_ENDPOINT	No Grafana 8.0.0 a 8.3.0, os usuários podem acessar sem autenticação um endpoint com uma vulnerabilidade de travessia de diretório que permite a qualquer usuário ler qualquer arquivo no servidor sem autenticação. Para mais informações, consulte CVE-2021-43798.
EXPOSED_METABASE	As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade no suporte personalizado ao mapa GeoJSON e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Esse detector verifica se os endpoints sensíveis do Atuador dos aplicativos do Spring Boot estão expostos. Alguns dos endpoints padrão, como /heapdump, podem expor informações sensíveis. Outros endpoints, como /env, podem levar à execução remota de código. No momento, apenas /heapdump está marcado.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado.
JAVA_JMX_RMI_EXPOSED	A Java Management Extension (JMX) permite monitoramento e diagnósticos remotos para aplicativos Java. A execução de JMX com um endpoint de invocação de método remoto desprotegido permite que qualquer usuário remoto crie um MBean javax.management.loading.MLet e o use para criar novos MBeans a partir de URLs arbitrários.
JUPYTER_NOTEBOOK_EXPOSED_UI	Esse detector verifica se um Jupyter Notebook não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Jupyter Notebook não autenticado coloca a VM de hospedagem em risco de execução remota de código.
KUBERNETES_API_EXPOSED	A API Kubernetes é exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação incompleta do WordPress expõe a página /wp-admin/install.php, que permite que um invasor defina a senha do administrador e, possivelmente, comprometa o sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Esse detector verifica se há uma instância do Jenkins não autenticada enviando um ping de sondagem para o endpoint /view/all/newJob como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário createItem, que permite a criação de jobs arbitrários que podem levar à execução remota de código.
APACHE_HTTPD_RCE	Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz do documento esperada e acessar a origem de arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-41773 Vulnerabilidades do Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Os invasores podem criar um URI para o servidor da Web Apache que faz com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-40438 Vulnerabilidades do Apache HTTP Server 2.4
CONSUL_RCE	Os invasores podem executar códigos arbitrários em um servidor do Consul porque a instância do Consul está configurada com -enable-script-checks definido como verdadeiro e a API HTTP do Consul não é segura e acessível pela rede. No Consul 0.9.0 e em versões anteriores, as verificações de script são ativadas por padrão. Para mais informações, consulte Como proteger o Consul contra riscos de RCE em configurações específicas. Para verificar essa vulnerabilidade, o Rapid Vulnerability Detection registra um serviço na instância do Consul usando o endpoint REST /v1/health/service, que executa uma destas ações: * Um comando curl para um servidor remoto fora da rede. Um invasor pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. O Rapid Vulnerability Detection verifica a saída do comando usando o endpoint REST /v1/health/service. * Após a verificação, o Rapid Vulnerability Detection limpa e cancela o registro do serviço usando o endpoint REST /v1/agent/service/deregister/.
DRUID_RCE	O Apache Druid inclui a capacidade de executar códigos JavaScript fornecidos pelo usuário incorporados em vários tipos de solicitações. Essa funcionalidade é destinada para uso em ambientes de alta confiança e está desativada por padrão. No entanto, no Druid 0.20.0 e anteriores, um usuário autenticado pode enviar uma solicitação especialmente elaborada que força o Druid a executar um código JavaScript fornecido pelo usuário para essa solicitação. independentemente da configuração do servidor. Isso pode ser usado para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhes da CVE-2021-25646.
DRUPAL_RCE	As versões do Drupal anteriores à 7.58, 8.x anteriores à 8.3.9, 8.4.x anteriores à 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota de código em solicitações AJAX da API Form. As versões do Drupal 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota de código quando o módulo RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada.
FLINK_FILE_DISCLOSURE	Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST do processo do JobManager. O acesso é restrito a arquivos acessíveis pelo processo do JobManager.
GITLAB_RCE	Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos.
GoCD_RCE	No GoCD 21.2.0 e anteriores, há um endpoint que pode ser acessado sem autenticação. Esse endpoint tem uma vulnerabilidade de travessia de diretório que permite ao usuário ler qualquer arquivo no servidor sem autenticação.
JENKINS_RCE	As versões 2.56 e anteriores do Jenkins e as versões 2.46.1 LTS e anteriores são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java malicioso serializado.
JOOMLA_RCE	As versões 1.5.x, 2.x e 3.x anteriores à 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho elaborado que contém objetos PHP serializados. As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado elaborado.
LOG4J_RCE	No Apache Log4j2 2.14.1 e anteriores, os recursos do JNDI usados em configurações, mensagens de registro e parâmetros não são protegidos contra LDAP controlado por invasor e outros endpoints relacionados ao JNDI. Para mais informações, consulte CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado fornecendo um valor confirm_hash vazio para verify.php.
OGNL_RCE	As instâncias do servidor e data center Confluence contêm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute código arbitrário. Para mais informações, consulte CVE-2021-26084.
OPENAM_RCE	O servidor OpenAM 14.6.2 e anteriores e o servidor ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não requer autenticação, e a execução remota de código pode ser acionada com o envio de uma única solicitação /ccversion/* elaborada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade fácil de explorar permite que um invasor não autenticado com acesso de rede por HTTP comprometa um Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882.
PHPUNIT_RCE	As versões do PHPUnit anteriores à 5.6.3 permitem a execução remota de código com uma única solicitação POST não autenticada.
PHP_CGI_RCE	As versões do PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota de código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere = (sinal de igual). Isso permite que invasores adicionem opções de linha de comando que sejam executadas no servidor.
PORTAL_RCE	A desserialização de dados não confiáveis nas versões do Liferay Portal anteriores à 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por meio dos serviços da Web JSON.
REDIS_RCE	Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores poderão executar código arbitrário.
SOLR_FILE_EXPOSED	A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode elaborar uma solicitação diretamente para ativar uma configuração específica e, por fim, implementar uma falsificação de solicitação do lado do servidor (SSRF) ou ler arquivos arbitrários.
SOLR_RCE	As versões 5.0.0 ao Apache Solr 8.3.1 estão vulneráveis à execução remota de código pelo VelocityResponseWriter se params.resource.loader.enabled estiver definido como true. Isso permite que invasores criem um parâmetro que contenha um modelo de velocidade malicioso.
STRUTS_RCE	As versões do Apache Struts anteriores à 2.3.32 e 2.5.x anteriores à 2.5.10.1 são vulneráveis à execução remota de código. A vulnerabilidade pode ser acionada por um invasor não autenticado que fornece um cabeçalho Content-Type criado. O plug-in REST nas versões 2.1.1 a 2.3.x do Apache Struts anteriores à 2.3.34 e 2.5.x anteriores à 2.5.13 é vulnerável à execução remota de código ao desserializar payloads XML criados. As versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do Apache Struts são vulneráveis à execução remota de código quando alwaysSelectFullNamespace está definido como verdadeiro e existem outras configurações de ação.
TOMCAT_FILE_DISCLOSURE	As versões do Apache Tomcat 9.x anteriores a 9.0.31, 8.x anteriores a 8.5.51, 7.x anteriores a 7.0.100 e todas as versões 6.x são vulneráveis à divulgação de código-fonte e configuração por meio de um conector de protocolo Apache JServ exposto. Em alguns casos, ele é aproveitado para executar código remoto se o upload de arquivos for permitido.
VBULLETIN_RCE	Os servidores vBulletin que executam as versões 5.0.0 até 5.5.4 estão vulneráveis à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação de string de rota.
VCENTER_RCE	As versões 7.x do VMware vCenter Server anteriores à 7.0 U1c, 6.7 anteriores à 6.7 U3l e 6.5 anteriores à 6.5 U3n são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor que faz o upload de um arquivo Java Server Pages criado para um diretório acessível pela Web e, em seguida, aciona a execução desse arquivo.
WEBLOGIC_RCE	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: console) contêm uma vulnerabilidade de execução de código remoto, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para mais informações, consulte CVE-2020-14883.
OS_VULNERABILITY	O VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.
UNUSED_IAM_ROLE	O recomendador do IAM detectou uma conta de usuário que tem um papel do IAM que não foi usado nos últimos 90 dias.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: proprietário, editor ou leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.

Resultados de GCP_SECURITYCENTER_MISCONFIGURATION com suporte

Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campo: MISCONFIGURATION.

Nome de descoberta	Descrição
API_KEY_APIS_UNRESTRICTED	Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.
API_KEY_APPS_UNRESTRICTED	Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável
API_KEY_EXISTS	Um projeto está usando chaves de API em vez da autenticação padrão.
API_KEY_NOT_ROTATED	A chave de API não é alternada há mais de 90 dias
PUBLIC_COMPUTE_IMAGE	Uma imagem do Compute Engine pode ser acessada publicamente.
CONFIDENTIAL_COMPUTING_DISABLED	A Computação confidencial está desativada em uma instância do Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto.
COMPUTE_SECURE_BOOT_DISABLED	Esta VM protegida não tem a Inicialização segura ativada. O uso da inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Uma instância está configurada para usar a conta de serviço padrão.
FULL_API_ACCESS	Uma instância está configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.
OS_LOGIN_DISABLED	O Login do SO está desativado nesta instância.
PUBLIC_IP_ADDRESS	Uma instância tem um endereço IP público.
SHIELDED_VM_DISABLED	A VM protegida está desativada nesta instância.
COMPUTE_SERIAL_PORTS_ENABLED	As portas seriais de uma instância são ativadas, o que permite conexões com o console serial da instância.
DISK_CMEK_DISABLED	Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
HTTP_LOAD_BALANCER	Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.
IP_FORWARDING_ENABLED	O encaminhamento de IP está ativado nas instâncias.
WEAK_SSL_POLICY	Uma instância tem uma política de SSL fraca.
BINARY_AUTHORIZATION_DISABLED	A autorização binária está desativada em um cluster do GKE.
CLUSTER_LOGGING_DISABLED	A geração de registros não está ativada para um cluster do GKE.
CLUSTER_MONITORING_DISABLED	O monitoramento está desativado nos clusters do GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	A criptografia de secrets na camada de aplicativos está desativada em um cluster do GKE.
INTRANODE_VISIBILITY_DISABLED	A visibilidade intranós é desativada para um cluster do GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE.
NETWORK_POLICY_DISABLED	A política de rede está desativada nos clusters do GKE.
NODEPOOL_SECURE_BOOT_DISABLED	A Inicialização segura está desativada para um cluster do GKE.
OVER_PRIVILEGED_ACCOUNT	Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.
OVER_PRIVILEGED_SCOPES	Uma conta de serviço do nó tem escopos de acesso amplos.
POD_SECURITY_POLICY_DISABLED	A PodSecurityPolicy está desativada em um cluster do GKE.
PRIVATE_CLUSTER_DISABLED	Um cluster do GKE tem um cluster particular desativado.
WORKLOAD_IDENTITY_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
LEGACY_AUTHORIZATION_ENABLED	A autorização legada está ativada em clusters do GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
WEB_UI_ENABLED	A IU da Web do GKE (painel) está ativada.
AUTO_REPAIR_DISABLED	O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED	O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED	Os nós protegidos do GKE não estão ativados em um cluster
RELEASE_CHANNEL_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
BIGQUERY_TABLE_CMEK_DISABLED	Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar.
DATASET_CMEK_DISABLED	Um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar.
EGRESS_DENY_RULE_NOT_SET	Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.
FIREWALL_RULE_LOGGING_DISABLED	A geração de registros de regras de firewall está desativada. O registro de regras de firewall precisa estar ativado para que seja possível auditar o acesso à rede.
OPEN_CASSANDRA_PORT	Um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico.
OPEN_SMTP_PORT	Um firewall está configurado para ter uma porta SMTP aberta que permite acesso genérico.
OPEN_REDIS_PORT	Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.
OPEN_POSTGRESQL_PORT	Um firewall está configurado para ter uma porta PostgreSQL aberta que permite acesso genérico.
OPEN_POP3_PORT	Um firewall está configurado para ter uma porta POP3 aberta que permite acesso genérico.
OPEN_ORACLEDB_PORT	Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico.
OPEN_NETBIOS_PORT	Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico.
OPEN_MYSQL_PORT	Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico.
OPEN_MONGODB_PORT	Um firewall está configurado para ter uma porta MONGODB aberta que permite acesso genérico.
OPEN_MEMCACHED_PORT	Um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico.
OPEN_LDAP_PORT	Um firewall está configurado para ter uma porta LDAP aberta que permite acesso genérico.
OPEN_FTP_PORT	Um firewall está configurado para ter uma porta FTP aberta que permite acesso genérico.
OPEN_ELASTICSEARCH_PORT	Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita o acesso genérico.
OPEN_DNS_PORT	Um firewall está configurado para ter uma porta DNS aberta que permite acesso genérico.
OPEN_HTTP_PORT	Um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico.
OPEN_DIRECTORY_SERVICES_PORT	Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.
OPEN_CISCOSECURE_WEBSM_PORT	Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico.
OPEN_RDP_PORT	Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico.
OPEN_TELNET_PORT	Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico.
OPEN_FIREWALL	Um firewall está configurado para ser aberto ao acesso público.
OPEN_SSH_PORT	Um firewall está configurado para ter uma porta SSH aberta que permite acesso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION	Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas".
NON_ORG_IAM_MEMBER	Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, atualmente, apenas identidades com endereços de e-mail @gmail.com acionam esse detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Um usuário tem o papel de Criador de conta de serviço ou Criador de token da conta de serviço no nível do projeto, e não para uma conta de serviço específica.
ADMIN_SERVICE_ACCOUNT	Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Uma chave da conta de serviço não foi alternada há mais de 90 dias.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Um usuário gerencia uma chave de conta de serviço.
PRIMITIVE_ROLES_USED	Um usuário tem o papel básico Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não devem ser usados.
KMS_ROLE_SEPARATION	A separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador.
OPEN_GROUP_IAM_MEMBER	Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM.
KMS_KEY_NOT_ROTATED	A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser trocadas dentro de um período de 90 dias.
KMS_PROJECT_HAS_OWNER	Um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas.
TOO_MANY_KMS_USERS	Há mais de três usuários de chaves criptográficas.
OBJECT_VERSIONING_DISABLED	O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.
LOCKED_RETENTION_POLICY_NOT_SET	Uma política de retenção bloqueada não está definida para os registros.
BUCKET_LOGGING_DISABLED	Há um bucket de armazenamento sem a geração de registros ativada.
LOG_NOT_EXPORTED	Há um recurso que não tem um coletor de registros apropriado configurado.
AUDIT_LOGGING_DISABLED	A geração de registros de auditoria foi desativada para este recurso.
MFA_NOT_ENFORCED	Há usuários que não estão usando a verificação em duas etapas.
ROUTE_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC.
OWNER_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.
AUDIT_CONFIG_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar as alterações na configuração de auditoria.
BUCKET_IAM_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar as alterações de função personalizada.
FIREWALL_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar alterações de regras do firewall da rede de nuvem privada virtual (VPC).
NETWORK_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.
SQL_INSTANCE_NOT_MONITORED	As métricas e os alertas de registro não estão configurados para monitorar alterações na configuração da instância do Cloud SQL.
DEFAULT_NETWORK	A rede padrão existe em um projeto.
DNS_LOGGING_DISABLED	A geração de registros de DNS em uma rede VPC não está ativada.
PUBSUB_CMEK_DISABLED	Um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
PUBLIC_SQL_INSTANCE	Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.
SSL_NOT_ENFORCED	Uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem SSL.
AUTO_BACKUP_DISABLED	Um banco de dados do Cloud SQL não tem backups automáticos ativados.
SQL_CMEK_DISABLED	Uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
SQL_LOG_CHECKPOINTS_DISABLED	A flag de banco de dados "log_checkpoints" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_CONNECTIONS_DISABLED	A flag do banco de dados log_connections de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_DISCONNECTIONS_DISABLED	A flag de banco de dados "log_disconnections" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_DURATION_DISABLED	A flag de banco de dados "log_duration" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_LOCK_WAITS_DISABLED	A flag de banco de dados "log_lock_waits" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_STATEMENT	A flag de banco de dados "log_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como Ddl (todas as instruções de definição de dados).
SQL_NO_ROOT_PASSWORD	Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
SQL_PUBLIC_IP	Um banco de dados do Cloud SQL tem um endereço IP público.
SQL_CONTAINED_DATABASE_AUTHENTICATION	A flag de banco de dados para autenticação do banco de dados contido de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	A flag de banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE	A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_MIN_ERROR_STATEMENT	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
SQL_LOG_TEMP_FILES	A flag do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED	A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED	A flag de banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625	A flag de banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED	A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL	Um bucket do Cloud Storage é acessível publicamente.
BUCKET_POLICY_ONLY_DISABLED	O acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.
BUCKET_CMEK_DISABLED	Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
FLOW_LOGS_DISABLED	Há uma sub-rede VPC com registros de fluxo desativados.
PRIVATE_GOOGLE_ACCESS_DISABLED	Há sub-redes particulares sem acesso às APIs públicas do Google.
kms_key_region_europe	Devido à política da empresa, todas as chaves de criptografia precisam permanecer armazenadas na Europa.
kms_non_euro_region	Devido à política da empresa, todas as chaves de criptografia precisam permanecer armazenadas na Europa.
LEGACY_NETWORK	Existe uma rede legada em um projeto.
LOAD_BALANCER_LOGGING_DISABLED	A geração de registros está desativada para o balanceador de carga.

Resultados de GCP_SECURITYCENTER_POSTURE_VIOLATION aceitos

Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campo: POSTURE VIOLATION.

Nome de descoberta	Descrição
SECURITY_POSTURE_DRIFT	Desvio das políticas definidas na postura de segurança. Isso é detectado pelo serviço de postura de segurança.
SECURITY_POSTURE_POLICY_DRIFT	O serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_POLICY_DELETE	O serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DRIFT	O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DELETE	O serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura.

Referência do mapeamento de campo

Esta seção explica como o analisador do Google Security Operations mapeia os campos de registro do Security Command Center para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google Security Operations para os conjuntos de dados.

Referência de mapeamento de campo: campos de registro bruto para campos do UDM

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as descobertas do Event Threat Detection do Security Command Center.

Campo RawLog	Mapeamento de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Se o valor do campo de registro `connections.destinationIp` não for igual ao `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Se o valor do campo de registro `connections.destinationIp` não for igual ao `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Se o valor do campo de registro `message` corresponder ao padrão de expressão regular `kubernetes`, o campo UDM `target.resource_ancestors.resource_type` será definido como CLUSTER. Caso contrário, se o valor do campo de registro `message` corresponder à expressão regular `kubernetes.*?pods`, o campo UDM `target.resource_ancestors.resource_type` será definido como POD.
	`about.resource.attribute.cloud.environment`	O campo UDM `about.resource.attribute.cloud.environment` está definido como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, o campo UDM `extension.auth.type` será definido como `SSO`.
	`extension.mechanism`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo UDM `extension.mechanism` será definido como `USERNAME_PASSWORD`.
	`extensions.auth.type`	Se o valor do campo de registro `principal.user.user_authentication_status` for igual a `ACTIVE`, o campo UDM `extensions.auth.type` será definido como `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo de registro `sourceProperties.properties.loadBalancerName` será mapeado para o campo UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo UDM `intermediary.resource.resource_type` será definido como `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se o valor do campo de registro `canonicalName` não estiver vazio, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo UDM `metadata.product_log_id`. Se o valor do campo de registro `canonicalName` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo UDM `metadata.product_log_id`.
	`metadata.product_name`	O campo UDM `metadata.product_name` está definido como `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	O campo UDM `metadata.vendor_name` está definido como `Google`.
	`network.application_protocol`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo UDM `network.application_protocol` será definido como `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.asn` será mapeado para o campo UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.carrierName` será mapeado para o campo UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.reverseDnsDomain` será mapeado para o campo UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseClass` será mapeado para o campo UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Se o valor do campo de registro `category` corresponder à expressão regular `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseValue` será associado ao campo UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.domainName` será mapeado para o campo UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.ttl` será mapeado para o campo UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseType` será mapeado para o campo UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.authAnswer` será mapeado para o campo UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.queryName` será mapeado para o campo UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.queryType` será mapeado para o campo UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseCode` será mapeado para o campo UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.callerUserAgent` será mapeado para o campo UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.callerUserAgent` será mapeado para o campo UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` será mapeado para o campo UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo UDM `network.ip_protocol` será definido como um dos seguintes valores: `ICMP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `1` ou `ICMP`. `IGMP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `2` ou `IGMP`. `TCP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `6` ou `TCP`. `UDP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `17` ou `UDP`. `IP6IN4` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `41` ou `IP6IN4`. `GRE` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `47` ou `GRE`. `ESP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `50` ou `ESP`. `EIGRP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `88` ou `EIGRP`. `ETHERIP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `97` ou `ETHERIP`. `PIM` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `103` ou `PIM`. `VRRP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `112` ou `VRRP`. `UNKNOWN_IP_PROTOCOL` se o valor do campo de registro `sourceProperties.properties.ipConnection.protocol` for igual a qualquer outro valor.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.organizationName` será mapeado para o campo UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.behaviorPeriod` será mapeado para o campo UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` corresponder à expressão regular `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.sourceIp` será associado ao campo UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.sourceIp` será mapeado para o campo UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control` ou `access.callerIp` ou `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.callerIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Evasion: Access from Anonymizing Proxy`, o campo de registro `sourceProperties.properties.changeFromBadIp.ip` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.sourceIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.srcIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, e o valor do campo de registro `sourceProperties.properties.ipConnection.srcIp` não for igual a `sourceProperties.properties.indicatorContext.ipAddress`, o campo de registro `sourceProperties.properties.indicatorContext.ipAddress` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.callerIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (obsoleto)	Se o valor do campo de registro `category` corresponder à expressão regular `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.scannerDomain` será mapeado para o campo UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Se o valor do campo de registro `category` corresponder à expressão regular `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.scannerDomain` será mapeado para o campo UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (obsoleto)	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` será mapeado para o campo `principal.labels.key/value` e UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` será mapeado para o campo UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.countryCode` será mapeado para o campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.location` será mapeado para o campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.job.location` será mapeado para o campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` será mapeado para o campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.anomalousLocation.anomalousLocation` será mapeado para o campo UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.srcPort` será mapeado para o campo UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobLink` será mapeado para o campo UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` será mapeado para o campo UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.job.jobId` será mapeado para o campo UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.srcVpc.subnetworkName` será mapeado para o campo UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.srcVpc.projectId` será mapeado para o campo UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo de UDM `principal.resource_ancestors.name`, e o campo de UDM `principal.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se o valor do campo de registro `message` corresponder à expressão regular `sourceProperties.sourceId.*?customerOrganizationNumber`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Se o valor do campo de registro `sourceProperties.properties.projectId` não estiver vazio, o campo de registro `sourceProperties.properties.projectId` será mapeado para o campo UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` será mapeado para o campo UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Se o valor do campo de registro `category` for igual a `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.sourceInstanceDetails` será mapeado para o campo UDM `principal.resource.name`.
	`principal.user.account_type`	Se o valor do campo de registro `access.principalSubject` corresponder à expressão regular `serviceAccount`, o campo UDM `principal.user.account_type` será definido como `SERVICE_ACCOUNT_TYPE`. Caso contrário, se o valor do campo de registro `access.principalSubject` corresponder à expressão regular `user`, o campo UDM `principal.user.account_type` será definido como `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo do UDM `principal.user.attribute.labels.key` será definido como `rawUserAgent` e o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` será mapeado para o campo do UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Evasion: Access from Anonymizing Proxy`, o campo de registro `sourceProperties.properties.changeFromBadIp.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.userEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive` ou `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Impair Defenses: Strong Authentication Disabled` ou `Impair Defenses: Two Step Verification Disabled` ou `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo de registro `sourceProperties.properties.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`. Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `sourceProperties.properties.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Persistence: New Geography`, o campo de registro `access.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.vpcViolation.userEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, o campo de registro `sourceProperties.properties.ssoState` será mapeado para o campo UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.userName` será mapeado para o campo UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.threatIntelligenceSource` será mapeado para o campo UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.sourceIp` será mapeado para o campo UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` será mapeado para o campo de UDM `security_result.about.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.restrictedResources.resourceName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo de UDM `security_result.about.resource_type` será definido como `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.allowedServices.serviceName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo de UDM `security_result.about.resource_type` será definido como `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.restrictedServices.serviceName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo de UDM `security_result.about.resource_type` será definido como `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.accessLevels.policyName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo de UDM `security_result.about.resource_type` será definido como `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Se o valor do campo de registro `message` corresponder à expressão regular `contacts.?security`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `security`. Se o valor do campo de registro `message` corresponder à expressão regular `contacts.?technical`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo UDM `security_result.action` será definido como `BLOCK`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH` e o valor do campo de registro `sourceProperties.properties.attempts.authResult` for igual a `SUCCESS`, o campo UDM `security_result.action` será definido como `BLOCK`. Caso contrário, o campo UDM `security_result.action` será definido como `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.restrictedResources.action` será mapeado para o campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.restrictedServices.action` será mapeado para o campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.allowedServices.action` será mapeado para o campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.accessLevels.action` será mapeado para o campo UDM `security_result.action_details`.
	`security_result.alert_state`	Se o valor do campo de registro `state` for igual a `ACTIVE`, o campo do UDM `security_result.alert_state` será definido como `ALERTING`. Caso contrário, o campo do UDM `security_result.alert_state` será definido como `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteInitiator` será mapeado para o campo UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteUpdateTimer` será mapeado para o campo UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.authResult` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_industry` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_name` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.lasthit` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.myVote` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.support_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_name` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.upVotes` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.downVotes` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE` ou `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Over-Privileged Grant` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Initial Access: Log4j Compromise Attempt` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, o campo do UDM `security_result.detection_fields.key` será definido como `sourceProperties_contextUris_relatedFindingUri_url` e o campo de registro `sourceProperties.contextUris.relatedFindingUri.url` será mapeado para o campo do UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` será mapeado para o campo de UDM `security_result.detection_fields.key` e o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Strong Authentication Disabled` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.contextUris.workspacesUri.displayName` será mapeado para o campo de UDM `security_result.detection_fields.key` e o campo de registro `sourceProperties.contextUris.workspacesUri.url` será mapeado para o campo de UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` será mapeado para o campo UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.description` será mapeado para o campo UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` será mapeado para o campo UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `HIGH`, o campo UDM `security_result.priority` será definido como `HIGH_PRIORITY`. Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `MEDIUM`, o campo UDM `security_result.priority` será definido como `MEDIUM_PRIORITY`. Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `LOW`, o campo UDM `security_result.priority` será definido como `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Exfiltration`, o campo de registro `sourceProperties.properties.vpcViolation.violationReason` será mapeado para o campo UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.query` será mapeado para o campo UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolderDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.projectDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `parent` será mapeado para o campo UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` será mapeado para o campo de UDM `src.resource_ancestors.name` e o campo de UDM `src.resource_ancestors.resource_type` será definido como `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `resourceName` será mapeado para o campo UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolder` será mapeado para o campo UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.projectNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.organizationNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.displayName` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo do UDM `src.resource.attribute.labels.key` será definido como `grantees` e o campo de registro `database.grantees` será associado ao campo do UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Se o valor do campo de registro `resource.type` corresponder ao padrão de expressão regular `(?i)google.compute.Instance or google.container.Cluster`, o campo de registro `resource.displayName` será associado ao campo UDM `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.projectId` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.backupId` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `src.resource.attribute.labels.key/value` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.sources.name` será mapeado para o campo de UDM `src.resource.name` e o campo de registro `resourceName` será mapeado para o campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name` e o campo de UDM `src.resource.resource_subtype` será definido como `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name`, e o campo de UDM `src.resource.resource_subtype` será definido como `CloudSQL`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name`, e o campo de UDM `src.resource.resource_subtype` será definido como `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.sources.name` será mapeado para o campo de UDM `src.resource.name` e o campo de registro `resourceName` será mapeado para o campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.tableId` será mapeado para o campo UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control` ou `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Exfiltration: CloudSQL Over-Privileged Grant` ou `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.serviceName` será mapeado para o campo UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Strong Authentication Disabled` ou `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.serviceName` será mapeado para o campo UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Se o valor do campo de registro `category` for igual a `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.domainName` será mapeado para o campo UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.domains.0` será mapeado para o campo UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` será mapeado para o campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` será mapeado para o campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` será mapeado para o campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` será mapeado para o campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` será mapeado para o campo UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.permissions` será mapeado para o campo UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` será mapeado para o campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` será mapeado para o campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` será mapeado para o campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` será mapeado para o campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.roleName` será mapeado para o campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` será mapeado para o campo UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` será mapeado para o campo UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` será mapeado para o campo UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.destIp` será mapeado para o campo UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (obsoleto)	Se o valor do campo de registro `category` for igual a `Impair Defenses: Strong Authentication Disabled` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.methodName` será mapeado para o campo UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Se o valor do campo de registro `category` for igual a `Impair Defenses: Strong Authentication Disabled` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.methodName` será mapeado para o campo UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.network.location` será mapeado para o campo UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.destPort` será mapeado para o campo UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.query` será mapeado para o campo UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	O campo de registro `containers.labels.name` é mapeado para o campo do UDM `target.resource_ancestors.attribute.labels.key`, e o campo de registro `containers.labels.value` é mapeado para o campo do UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.projectId` será mapeado para o campo UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.subnetworkName` será mapeado para o campo UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.network.subnetworkName` será mapeado para o campo UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.network.subnetworkId` será mapeado para o campo UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`containers.name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` será mapeado para o campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` será mapeado para o campo UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VPC_NETWORK`. Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.vpcName` será associado ao campo de UDM `target.resource_ancestors.name`, o campo de registro `sourceProperties.properties.vpc.vpcName` será associado ao campo de UDM `target.resource_ancestors.name` e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo de registro `sourceProperties.properties.gceInstanceId` será mapeado para o campo de UDM `target.resource_ancestors.product_object_id`, e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.zone` será mapeado para o campo UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	O `finding_id` é extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `src.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `src.resource.product_object_id`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `src.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `target.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `target.resource.product_object_id`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `target.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo do UDM `target.resource.attribute.labels.key` será definido como `exportScope` e o campo de registro `sourceProperties.properties.exportToGcs.exportScope` será associado ao campo do UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.objectName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.originalUri` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.metadataKeyOperation` será mapeado para o campo UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.targets.components` será mapeado para o campo UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketAccess` será mapeado para o campo UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`resourceName`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`exfiltration.targets.name`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.vmName` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a Malware: Bad Domain ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.instanceDetails` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name` e o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.attribute.name` e o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será mapeado para o campo UDM `target.resource.name` e o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` será mapeado para o campo UDM `target.resource.attribute.labels` e o campo UDM `target.resource.resource_type` será definido como `TABLE`. Caso contrário, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.instanceId` será mapeado para o campo UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo UDM `target.resource.resource_subtype`. Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo UDM `target.resource.resource_subtype` será definido como `Privileged Group`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo UDM `target.resource.resource_subtype` será definido como `BigQuery`.
	`target.resource.resource_type`	Se o valor do campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionType` corresponder à expressão regular `BUCKET`, o campo UDM `target.resource.resource_type` será definido como `STORAGE_BUCKET`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo UDM `target.resource.resource_type` será definido como `TABLE`.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo UDM `target.url`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.gcsUri` será mapeado para o campo UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo de registro `sourceProperties.properties.requestUrl` será mapeado para o campo UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.policyLink` será mapeado para o campo UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.notSeenInLast` será mapeado para o campo UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.username` será mapeado para o campo UDM `target.user.userid`. Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `userid` será mapeado para o campo UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `userid` será mapeado para o campo UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (obsoleto)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (obsoleto)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Added Binary Executed` ou `Added Library Loaded`, o campo de registro `sourceProperties.VM_Instance_Name` será mapeado para o campo de UDM `target.resource_ancestors.name`, e o campo de UDM `target.resource_ancestors.resource_type` será definido como `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio` ou `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, o campo de registro `sourceProperties.Backend_Service` será mapeado para o campo de UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo de UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, o campo de UDM `target.resource.resource_type` será definido como `BACKEND_SERVICE`. Se o valor do campo de registro `category` for igual a `Configurable Bad Domain`, o campo de UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`.
	`is_alert`	Se o valor do campo de registro `state` for igual a `ACTIVE` e o valor do campo `mute_is_not_present` não for igual a "verdadeiro" e o valor do campo de registro `mute` for igual a `UNMUTED` ou `UNDEFINED`, o campo UDM `is_alert` será definido como `true`. Caso contrário, o campo UDM `is_alert` será definido como `false`.`mute`
	`is_significant`	Se o valor do campo de registro `state` for igual a `ACTIVE` e o valor do campo `mute_is_not_present` não for igual a "verdadeiro" e o valor do campo de registro `mute` for igual a `UNMUTED` ou `UNDEFINED`, o campo UDM `is_significant` será definido como `true`. Caso contrário, o campo UDM `is_significant` será definido como `false`.`mute`
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : extraiu `user_id` do campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail`. Em seguida, o campo `user_id` foi mapeado para o campo do UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : extraiu `user_id` do campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`. Em seguida, o campo `user_id` foi mapeado para o campo do UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, o Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` field será mapeado para o campo de UDM `principal.asset.location.name`.`region`
`resourceName`	`principal.asset.product_object_id`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, o Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` field será mapeado para o campo de UDM `principal.asset.product_object_id`.`asset_prod_obj_id`
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, o Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` field será mapeado para o campo de UDM `principal.asset.attribute.cloud.availability_zone`.`zone_suffix`
`resourceName`	`principal.asset.attribute.labels[project_name]`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, o Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` from `resourceName` field será mapeado para o campo de UDM `principal.asset.attribute.labels.value`.`project_name`
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.methodName` será mapeado para o campo UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.methodName` será mapeado para o campo UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.serviceName` será mapeado para o campo UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.serviceName` será mapeado para o campo UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.attemptTimes` será mapeado para o campo UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.attemptTimes` será mapeado para o campo UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` será mapeado para o campo UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` será mapeado para o campo UDM `additional.fields`.
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	Se o valor do campo de registro `category` contiver um dos valores a seguir, o campo de registro `resource.resourcePathString` será mapeado para o campo UDM `src.resource.attribute.labels[resource_path_string]`. `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` Caso contrário, o campo de registro `resource.resourcePathString` é mapeado para o campo do UDM `target.resource.attribute.labels[resource_path_string]`.

Referência de mapeamento de campo: identificador de evento para tipo de evento

Identificador de evento	Tipo de evento	Categoria de segurança
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

As tabelas a seguir contêm os tipos de evento e o mapeamento de campos do UDM para as classes de descobertas VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED e POSTURE_VIOLATION do Security Command Center.

Categoria VULNERABILITY para o tipo de evento da UDM

A tabela a seguir lista a categoria VULNERABILITY e os tipos de eventos do UDM correspondentes.

Identificador de evento	Tipo de evento	Categoria de segurança
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Categoria "MISCONFIGURATION" para o tipo de evento da UDM

A tabela a seguir lista a categoria MISCONFIGURATION e os tipos de eventos do UDM correspondentes.

Identificador de evento	Tipo de evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoria OBSERVAÇÃO para o tipo de evento da UDM

A tabela a seguir lista a categoria OBSERVAÇÃO e os tipos de eventos do UDM correspondentes.

Identificador de evento	Tipo de evento
Persistência: chave SSH do projeto adicionada	SETTING_MODIFICATION
Persistência: adicionar papel sensível	RESOURCE_PERMISSIONS_CHANGE
Impacto: instância de GPU criada	USER_RESOURCE_CREATION
Impacto: muitas instâncias criadas	USER_RESOURCE_CREATION

Categoria de ERRO para o tipo de evento da UDM

A tabela a seguir lista a categoria ERROR e os tipos de evento do UDM correspondentes.

Identificador de evento	Tipo de evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Categoria UNSPECIFIED para o tipo de evento da UDM

A tabela a seguir lista a categoria UNSPECIFIED e os tipos de eventos do UDM correspondentes.

Identificador de evento	Tipo de evento	Categoria de segurança
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Categoria POSTURE_VIOLATION para o tipo de evento da UDM

A tabela a seguir lista a categoria POSTURE_VIOLATION e os tipos de eventos do UDM correspondentes.

Identificador de evento	Tipo de evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referência de mapeamento de campo: VULNERABILITY

A tabela a seguir lista os campos de registro da categoria VULNERABILITY e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM	Lógica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
categoria	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Extraiu `region` de `resourceName` usando um padrão Grok e mapeou para o campo UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	Extraiu `asset_prod_obj_id` de `resourceName` usando um padrão Grok e mapeou para o campo UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	Extraiu `zone_suffix` de `resourceName` usando um padrão Grok e mapeou para o campo UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referência de mapeamento de campo: CONFIGURAÇÃO INCORRETA

A tabela a seguir lista os campos de registro da categoria MISCONFIGURATION e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referência de mapeamento de campo: OBSERVAÇÃO

A tabela a seguir lista os campos de registro da categoria OBSERVAÇÃO e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referência de mapeamento de campo: ERRO

A tabela a seguir lista os campos de registro da categoria ERROR e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referência de mapeamento de campo: UNSPECIFIED

A tabela a seguir lista os campos de registro da categoria UNSPECIFIED e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referência de mapeamento de campo: POSTURE_VIOLATION

A tabela a seguir lista os campos de registro da categoria POSTURE_VIOLATION e os campos correspondentes do UDM.

Campo de registro	Mapeamento de UDM	Lógica
`finding.resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `finding.resourceName` não estiver vazio, o campo de registro `finding.resourceName` será mapeado para o campo UDM `target.resource.name`. O campo `project_name` é extraído do campo de registro `finding.resourceName` usando o padrão Grok. Se o valor do campo `project_name` não estiver vazio, ele será mapeado para o campo UDM `target.resource_ancestors.name`.`project_name`
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `resourceName` não estiver vazio, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource.name`. O campo `project_name` é extraído do campo de registro `resourceName` usando o padrão Grok. Se o valor do campo `project_name` não estiver vazio, o campo `project_name` será mapeado para o campo UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Se o valor do campo de registro `finding.cloudProvider` contiver um dos valores a seguir, o campo de registro `finding.cloudProvider` será mapeado para o campo UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Se o valor do campo de registro `cloudProvider` contiver um dos valores a seguir, o campo de registro `cloudProvider` será mapeado para o campo UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Se o valor do campo de registro `resource.cloudProvider` contiver um dos valores a seguir, o campo de registro `resource.cloudProvider` será mapeado para o campo UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campos comuns: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

A tabela a seguir lista campos comuns do SECURITY COMMAND CENTER: categorias VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION e TOXIC_COMBINATION e os campos correspondentes do UDM.

Campo RawLog	Mapeamento de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Se o valor do campo de registro `connections.destinationIp` não for igual ao `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Se o valor do campo de registro `connections.destinationIp` não for igual ao `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	O campo UDM `target.resource_ancestors.resource_type` está definido como `CLUSTER`.
	`about.resource.attribute.cloud.environment`	O campo UDM `about.resource.attribute.cloud.environment` está definido como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se o valor do campo de registro `canonicalName` não estiver vazio, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo UDM `metadata.product_log_id`. Se o valor do campo de registro `canonicalName` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se o valor do campo de registro `message` corresponder à expressão regular `sourceProperties.sourceId.*?customerOrganizationNumber`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	Se o valor do campo de registro `access.principalSubject` corresponder à expressão regular `serviceAccount`, o campo UDM `principal.user.account_type` será definido como `SERVICE_ACCOUNT_TYPE`. Caso contrário, se o valor do campo de registro `access.principalSubject` corresponder à expressão regular `user`, o campo UDM `principal.user.account_type` será definido como `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `access.principalEmail` não estiver vazio e corresponder à expressão regular `^.+@.+$`, o campo de registro `access.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.`access.principalEmail`
`access.principalEmail`	`principal.user.userid`	Se o valor do campo de registro `access.principalEmail` não estiver vazio e não corresponder à expressão regular `^.+@.+$`, o campo de registro `access.principalEmail` será mapeado para o campo UDM `principal.user.userid`.`access.principalEmail`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Se o valor do campo de registro `message` corresponder à expressão regular `contacts.?security`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `security`. Se o valor do campo de registro `message` corresponder à expressão regular `contacts.?technical`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Se o valor do campo de registro `state` for igual a `ACTIVE`, o campo do UDM `security_result.alert_state` será definido como `ALERTING`. Caso contrário, o campo do UDM `security_result.alert_state` será definido como `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteInitiator` será mapeado para o campo UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteUpdateTimer` será mapeado para o campo UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE` ou `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Over-Privileged Grant` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Initial Access: Log4j Compromise Attempt` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, o campo do UDM `security_result.detection_fields.key` será definido como `sourceProperties_contextUris_relatedFindingUri_url` e o campo de registro `sourceProperties.contextUris.relatedFindingUri.url` será mapeado para o campo do UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` será mapeado para o campo de UDM `security_result.detection_fields.key` e o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked` ou `Initial Access: Disabled Password Leak` ou `Initial Access: Government Based Attack` ou `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Strong Authentication Disabled` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.contextUris.workspacesUri.displayName` será mapeado para o campo de UDM `security_result.detection_fields.key` e o campo de registro `sourceProperties.contextUris.workspacesUri.url` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `HIGH`, o campo UDM `security_result.priority` será definido como `HIGH_PRIORITY`. Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `MEDIUM`, o campo UDM `security_result.priority` será definido como `MEDIUM_PRIORITY`. Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `LOW`, o campo UDM `security_result.priority` será definido como `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.query` será mapeado para o campo UDM `src.process.command_line`. Caso contrário, o campo de registro `database.query` será mapeado para o campo UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolderDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`. Caso contrário, o campo de registro `resource.folders.resourceFolderDisplayName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.folders.resourceFolderDisplay` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.value`. Caso contrário, o campo de registro `resource.gcpMetadata.folders.resourceFolderDisplay` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.folders.resourceFolder` será mapeado para o campo UDM `src.resource_ancestors.name`. Caso contrário, o campo de registro `resource.gcpMetadata.folders.resourceFolder` será mapeado para o campo UDM `target.resource_ancestors.name`.
`resource.organization`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.organization` será mapeado para o campo UDM `src.resource_ancestors.name`. Caso contrário, o campo de registro `resource.organization` será mapeado para o campo UDM `target.resource_ancestors.name`.
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.organization` será mapeado para o campo UDM `src.resource_ancestors.name`. Caso contrário, o campo de registro `resource.gcpMetadata.organization` será mapeado para o campo UDM `target.resource_ancestors.name`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.parentDisplayName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.parentDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.gcpMetadata.parentDisplayName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.parentName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.parent` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.gcpMetadata.parent` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.projectDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.projectDisplayName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.gcpMetadata.projectDisplayName` será mapeado para o campo UDM `src.resource_ancestors.attribute.labels.key/value`. Caso contrário, o campo de registro `resource.gcpMetadata.projectDisplayName` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.displayName` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo do UDM `src.resource.attribute.labels.key` será definido como `grantees` e o campo de registro `database.grantees` será associado ao campo do UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será associado ao campo UDM `src.resource.attribute.labels.value`. Caso contrário, o campo de registro `resource.displayName` será associado ao campo UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será associado ao campo UDM `src.resource.attribute.labels.value`. Caso contrário, o campo de registro `resource.display_name` será associado ao campo UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será associado ao campo UDM `src.resource.attribute.labels.value`. Caso contrário, o campo de registro `resource.displayName` será associado ao campo UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será associado ao campo UDM `src.resource.attribute.labels.value`. Caso contrário, o campo de registro `resource.display_name` será associado ao campo UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.sources.components` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `resourceName` será mapeado para o campo UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control` ou `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Exfiltration: CloudSQL Over-Privileged Grant` ou `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.serviceName` será mapeado para o campo UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será mapeado para o campo UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será mapeado para o campo UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.zone` será mapeado para o campo UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	O `finding_id` é extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `src.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `src.resource.product_object_id`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `src.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `target.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `target.resource.product_object_id`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo UDM `target.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.targets.components` será mapeado para o campo UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será associado ao campo de UDM `target.resource_ancestors.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `exfiltration.target.name` será associado ao campo de UDM `target.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.target.name` será associado ao campo de UDM `target.resource.name`.`resourceName` `target.resource.resource_typeVIRTUAL_MACHINEtarget.resource.name`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RegionCode`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RemoteHost`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `UserAgent`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RequestUriPath`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.compromised_account` será mapeado para o campo de UDM `principal.user.userid` e o campo de UDM `principal.user.account_type` será definido como `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.project_identifier` será mapeado para o campo UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.private_key_identifier` será mapeado para o campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (obsoleto)	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.action_taken` será mapeado para o campo UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.action_taken` será mapeado para o campo UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (obsoleto)	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.finding_type` será mapeado para o campo UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.finding_type` será mapeado para o campo UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.url` será mapeado para o campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.security_result.summary` será mapeado para o campo UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

A seguir

Ingestão de dados no Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.