收集 Security Command Center 发现结果

本文档介绍如何通过配置 Security Command Center 并将发现结果注入 Chronicle 来收集 Security Command Center 日志。本文档还列出了支持的事件。

如需了解详情,请参阅将数据注入到 Chronicle将 Security Command Center 发现结果导出到 Chronicle。典型的部署由 Security Command Center 和配置为将日志发送到 Chronicle 的 Chronicle Feed 组成。每个客户部署可能有所不同,并且可能更复杂。

部署包含以下组件:

  • Google Cloud:安装 Security Command Center 的受监控系统。

  • Security Command Center Event Threat Detection 发现结果:从数据源收集信息并生成发现结果。

  • Chronicle:保留和分析 Security Command Center 中的日志。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有以下提取标签的 Security Command Center 解析器:

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

配置 Security Command Center 和 Google Cloud 以将发现结果发送到 Chronicle

支持的 Event Threat Detection 发现结果

本部分列出了受支持的 Event Threat Detection 发现结果。如需了解 Security Command Center Event Threat Detection 规则和发现结果,请参阅事件威胁检测规则

查找名称 说明
主动扫描:Log4j 容易受到 RCE 攻击 通过识别由受支持的 Log4j 漏洞扫描程序启动的未混淆网域的 DNS 查询,检测处于活动状态的 Log4j 漏洞。
暴力破解:SSH 检测到主机上成功的 SSH 暴力破解。
凭据访问:外部成员已添加到特权组 检测外部成员何时被添加到具有特权的 Google 群组(授予敏感角色或权限的群组)。仅当群组中没有与新添加的成员属于同一组织的其他外部成员时,系统才会生成发现结果。如需了解详情,请参阅不安全的 Google 网上论坛群组更改
凭据访问:向公众开放特权群组 检测特权 Google 群组(授予敏感角色或权限的群组)何时更改为可供公众访问。如需了解详情,请参阅不安全的 Google 网上论坛群组更改
凭据访问权限:向混合群组授予的敏感角色 检测何时向包含外部成员的 Google 群组授予敏感角色。如需了解详情,请参阅不安全的 Google 网上论坛群组更改
防护规避:修改 VPC Service Control 检测到现有 VPC Service Control 边界的变化会导致该边界提供的保护力度下降。
发现:可以获取敏感的 Kubernetes 对象检查预览 恶意操作者尝试使用 kubectl auth can-i get 命令来确定他们可以在 Google Kubernetes Engine (GKE) 中查询哪些敏感对象。
发现:服务帐号自行调查 检测用于调查与同一服务帐号关联的角色和权限的身份和访问管理 (IAM) 服务帐号凭据。
规避:通过匿名代理访问 检测源自匿名代理 IP 地址(如 Tor IP 地址)的 Google Cloud 服务修改。
渗漏:BigQuery 数据渗漏 可检测以下情况:
  • 归受保护组织所有但存储在组织外部的资源,包括复制或转移操作。
  • 尝试访问受 VPC Service Control 保护的 BigQuery 资源。
渗漏:BigQuery 数据提取 可检测以下情况:
  • 通过提取操作,将受保护组织拥有的 BigQuery 资源保存到该组织外部的 Cloud Storage 存储桶中。
  • 系统会通过提取操作将受保护组织拥有的 BigQuery 资源保存到该组织拥有的可公开访问的 Cloud Storage 存储桶中。
渗漏:将 BigQuery 数据导出至 Google 云端硬盘 可检测以下情况:

系统会通过提取操作将受保护组织拥有的 BigQuery 资源保存到 Google 云端硬盘文件夹。

渗漏:Cloud SQL 数据渗漏 可检测以下情况:
  • 导出到组织外部的 Cloud Storage 存储桶的实时实例数据。

  • 导出到组织拥有且可公开访问的 Cloud Storage 存储桶的实时实例数据。
渗漏:Cloud SQL 将备份恢复到外部组织 检测 Cloud SQL 实例的备份何时恢复到组织外部的实例。
渗漏:Cloud SQL SQL 超特权授权 检测 Cloud SQL Postgres 用户或角色何时被授予数据库或架构中所有表、过程或函数的所有权限。
防御受影响:强身份验证被停用 您的组织已停用两步验证。
防御受影响:两步验证被停用 用户停用了两步验证。
初始访问权限:帐号已停用(遭黑客攻击) 用户的账号因可疑活动而被暂停。
初始访问:已停用(密码泄露) 由于检测到密码泄露,用户的帐号已被停用。
初始访问权限:受政府支持的攻击 政府支持的攻击者可能尝试破解了用户账号或计算机。
初始访问:Log4j 入侵尝试 检测标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能指示试图利用 Log4Shell 的行为。这些发现结果的严重程度为低,因为它们仅表示检测或入侵尝试,并不表示漏洞或入侵。
初始访问:阻止了可疑登录 检测到并阻止了用户账号的可疑登录。
Log4j 恶意软件:网域错误 Log4j 检测基于 Log4j 攻击中所用已知网域的连接或查询来利用流量。
Log4j 恶意软件:IP 错误 Log4j 检测:根据与 Log4j 攻击中所用已知 IP 地址的连接来利用流量。
恶意软件:网域错误 根据与已知恶意网域的连接或查询来检测恶意软件。
恶意软件:错误的 IP 根据与已知不良 IP 地址的连接检测恶意软件。
恶意软件:加密货币挖矿错误网域 基于与已知加密货币挖矿网域的连接或查询,检测加密货币挖矿操作。
恶意软件:挖矿不良 IP 根据与已知挖矿 IP 地址的连接检测加密货币挖矿。
传出 DoS 检测传出的拒绝服务流量。
持久性:Compute Engine 管理员添加了 SSH 密钥 检测已建立的实例(超过 1 周)上的 Compute Engine 实例元数据 SSH 密钥值的修改情况。
持久性:Compute Engine 管理员添加了启动脚本 在已建立的实例(超过 1 周)上检测到对 Compute Engine 实例元数据启动脚本值的修改。
持久性:IAM 异常授权 检测向非组织成员的 IAM 用户和服务账号授予的权限。此检测器将组织现有的 IAM 政策用作上下文。如果发生了对外部成员的敏感 IAM 授权,并且现有的类似 IAM 政策少于三项,则此检测器会生成发现结果。
持久性:新 API 方法预览 检测 IAM 服务帐号对 Google Cloud 服务的异常使用情况。
持久性:新的地理位置 根据发出请求的 IP 地址的地理位置,检测从异常位置访问 Google Cloud 的 IAM 用户和服务帐号。
持久性:新的用户代理 检测从异常或可疑的用户代理访问 Google Cloud 的 IAM 服务帐号。
持久性:单点登录启用切换 管理员账号的“启用单点登录 (SSO)”设置已停用。
持久性:单点登录设置发生了更改 管理员账号的 SSO 设置已更改。
提权:敏感 Kubernetes RBAC 对象变更预览版 为了提升权限,恶意操作者尝试使用 PUT 或 PATCH 请求修改 cluster-admin ClusterRole 和 ClusterRoleBinding 对象。
提升权限:为主 certPreview 创建 Kubernetes CSR 潜在恶意操作者创建了一个 Kubernetes 主证书签名请求 (CSR),向其授予了集群管理员访问权限。
特权升级:创建敏感的 Kubernetes 绑定预览 恶意操作者尝试创建新的集群管理员 RoleBinding 或 ClusterRoleBinding 对象以提升其权限。
提升权限:使用被盗用的引导凭据获取 Kubernetes CSR 预览 恶意操作者使用被盗用的引导凭据通过 kubectl 命令查询证书签名请求 (CSR)。
提升权限:启动特权 Kubernetes 容器预览 恶意操作者创建的 Pod 包含特权容器或具有提权功能的容器。

对于特权容器,privileged 字段设置为 true。具有提权功能的容器的 allowPrivilegeEscalation 字段设置为 true。
初始访问权限:已创建休眠服务账号密钥 检测为休眠的用户代管式服务账号创建密钥的事件。在这种情况下,如果服务帐号处于非活跃状态超过 180 天,则会被视为休眠帐号。
流程树 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。
意外的子 Shell 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。
执行:添加了恶意二进制文件执行 检测器会查找正在执行的二进制文件,但该二进制文件不属于原始容器映像,并且根据威胁情报被识别为恶意文件。
执行:执行被篡改的恶意二进制文件 检测器会查找正在执行的二进制文件,该文件最初包含在容器映像中但在运行时被修改,并且根据威胁情报被识别为恶意文件。
提升权限:针对管理员活动的异常多步服务账号委托 检测何时发现了针对某项管理活动的异常多步骤委托请求。
使用的 Breakglass 账号:break_glass_account 检测紧急访问 (Breakglass) 账号的使用情况
可配置的错误网域:APT29_Domains 检测到与指定域名的连接
意外授予角色:禁止的角色 检测何时向用户授予指定角色
可配置的错误 IP 检测到与指定 IP 地址的连接
意外的 Compute Engine 实例类型 检测到与指定实例类型或配置不匹配的 Compute Engine 实例创建操作。
意外的 Compute Engine 来源映像 检测到系统使用与指定列表不匹配的映像或映像系列创建 Compute Engine 实例的操作
意外的 Compute Engine 区域 检测到系统在指定列表以外的区域中创建 Compute Engine 实例的操作。
具有被禁用权限的自定义角色 检测何时向主账号授予具有任何指定 IAM 权限的自定义角色。
意外的 Cloud API 调用 检测指定主账号何时对指定资源调用指定方法。仅当所有正则表达式都与单个日志条目匹配时,系统才会生成发现结果。

支持的 GCP_SECURITYCENTER_ERROR 发现结果

您可以在字段映射参考:错误表格中找到 UDM 映射。

查找名称 说明
VPC_SC_RESTRICTION Security Health Analytics 无法为项目生成某些发现结果。项目受服务边界保护,而 Security Command Center 服务帐号无权访问该边界。
MISCONFIGURED_CLOUD_LOGGING_EXPORT 配置为持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。
API_DISABLED 已为项目停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。
KTD_IMAGE_PULL_FAILURE 无法对集群启用 Container Threat Detection,因为无法从 Container Registry 映像主机 gcr.io 拉取(下载)所需的容器映像。您需要使用该映像来部署 Container Threat Detection 所需的 Container Threat Detection DaemonSet。
KTD_BLOCKED_BY_ADMISSION_CONTROLLER 无法在 Kubernetes 集群上启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。

在 Google Cloud 控制台中查看发现结果详情时,包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时,Google Kubernetes Engine 返回的错误消息。
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS 服务帐号缺少 Container Threat Detection 所需的权限。由于无法启用、升级或停用检测插桩,容器威胁检测可能会停止正常运行。
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果,因为集群上的 GKE 默认服务帐号缺少权限。这样可以阻止在集群上成功启用 Container Threat Detection。
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS Security Command Center 服务帐号缺少正常运行所需的权限。系统不会生成任何发现结果。

支持的 GCP_SECURITYCENTER_OBSERVATION 发现结果

您可以在字段映射参考:OBSERVATION 表格中找到 UDM 映射。

查找名称 说明
持久性:添加了项目 SSH 密钥 在项目中为存在时间超过 10 天的项目创建了项目级 SSH 密钥。
持久性:添加敏感角色 敏感或高特权的组织级 IAM 角色在存在超过 10 天的组织中授予。

支持的 GCP_SECURITYCENTER_UNSPECIFIED 发现结果

您可以在字段映射参考:UNSPECIFIED 表中找到 UDM 映射。

查找名称 说明
OPEN_FIREWALL 防火墙配置为开放允许公开访问。

支持的 GCP_SECURITYCENTER_VULNERABILITY 发现结果

您可以在字段映射参考:VULNERABILITY 表格中找到 UDM 映射。

查找名称 说明
DISK_CSEK_DISABLED 此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅特殊情况检测器
ALPHA_CLUSTER_ENABLED 已为 GKE 集群启用 Alpha 版集群功能。
AUTO_REPAIR_DISABLED GKE 集群的自动修复功能(用于使节点保持良好的运行状态)已停用。
AUTO_UPGRADE_DISABLED GKE 集群的自动升级功能(使集群和节点池保持在最新的稳定版 Kubernetes 上)已停用。
CLUSTER_SHIELDED_NODES_DISABLED 没有为集群启用安全强化型 GKE 节点
COS_NOT_USED Compute Engine 虚拟机未使用专为在 Google Cloud 上安全地运行 Docker 容器而设计的 Container-Optimized OS。
INTEGRITY_MONITORING_DISABLED 已为 GKE 集群停用完整性监控。
IP_ALIAS_DISABLED 已创建 GKE 集群,并且已停用别名 IP 范围。
LEGACY_METADATA_ENABLED 旧版元数据已在 GKE 集群上启用。
RELEASE_CHANNEL_DISABLED GKE 集群未订阅发布渠道。
DATAPROC_IMAGE_OUTDATED 在创建 Dataproc 集群时使用的 Dataproc 映像版本受到 Apache Log4j 2 实用程序安全漏洞(CVE-2021-44228CVE-2021-45046)的影响。
PUBLIC_DATASET 数据集配置为允许公开访问。
DNSSEC_DISABLED Cloud DNS 区域停用了 DNSSEC。
RSASHA1_FOR_SIGNING RSASHA1 用于在 Cloud DNS 区域中进行密钥签名。
REDIS_ROLE_USED_ON_ORG Redis IAM 角色在组织级别或文件夹级别分配。
KMS_PUBLIC_KEY Cloud KMS 加密密钥可公开访问。
SQL_CONTAINED_DATABASE_AUTHENTICATION Cloud SQL for SQL Server 实例的包含数据库身份验证数据库标志未设置为关闭。
SQL_CROSS_DB_OWNERSHIP_CHAINING Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。
SQL_EXTERNAL_SCRIPTS_ENABLED Cloud SQL for SQL Server 实例的外部脚本启用数据库标志未设置为关闭。
SQL_LOCAL_INFILE Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为关闭。
SQL_LOG_ERROR_VERBOSITY Cloud SQL for PostgreSQL 实例的 log_error_verbosity 数据库标志未设置为“default”或更严格的值。
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED Cloud SQL for PostgreSQL 实例的 log_min_duration_statement 数据库标志未设置为“-1”。
SQL_LOG_MIN_ERROR_STATEMENT Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。
SQL_LOG_MIN_MESSAGES Cloud SQL for PostgreSQL 实例的 log_min_messages 数据库标志未设置为“警告”。
SQL_LOG_EXECUTOR_STATS_ENABLED Cloud SQL for PostgreSQL 实例的 log_executor_status 数据库标志未设置为关闭。
SQL_LOG_HOSTNAME_ENABLED Cloud SQL for PostgreSQL 实例的 log_hostname 数据库标志未设置为关闭。
SQL_LOG_PARSER_STATS_ENABLED Cloud SQL for PostgreSQL 实例的 log_parser_stats 数据库标志未设置为关闭。
SQL_LOG_PLANNER_STATS_ENABLED Cloud SQL for PostgreSQL 实例的 log_planner_stats 数据库标志未设置为关闭。
SQL_LOG_STATEMENT_STATS_ENABLED Cloud SQL for PostgreSQL 实例的 log_statement_stats 数据库标志未设置为“关闭”。
SQL_LOG_TEMP_FILES Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。
SQL_REMOTE_ACCESS_ENABLED Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为关闭。
SQL_SKIP_SHOW_DATABASE_DISABLED Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为开启。
SQL_TRACE_FLAG_3625 Cloud SQL for SQL Server 实例的 3625(跟踪标志)数据库标志未设置为开启。
SQL_USER_CONNECTIONS_CONFIGURED 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。
SQL_USER_OPTIONS_CONFIGURED 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。
SQL_WEAK_ROOT_PASSWORD Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
PUBLIC_LOG_BUCKET 用作日志接收器的存储桶可公开访问。
ACCESSIBLE_GIT_REPOSITORY Git 代码库被公开。如需解决此发现结果,请移除对 GIT 代码库的意外公开访问权限。
ACCESSIBLE_SVN_REPOSITORY SVN 代码库会公开。如需解决此发现结果,请移除对 SVN 代码库的意外公开访问权限。
CACHEABLE_PASSWORD_INPUT 在 Web 应用中输入的密码可以缓存在常规浏览器缓存中,而不是安全的密码存储空间。
CLEAR_TEXT_PASSWORD 密码以明文形式传输,可以被拦截。如需解决此发现结果,请对通过网络传输的密码进行加密。
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION 跨站点 HTTP 或 HTTPS 端点仅验证来源请求标头的一个后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的根网域是 Origin 标头值的一部分,然后再将其反映在 Access-Control-Allow-Origin 响应标头中。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith("".google.com"")。
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION 跨站点 HTTP 或 HTTPS 端点仅验证源请求标头的一个前缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的网域与 Origin 标头值完全一致,然后再反映到 Access-Control-Allow-Origin 响应标头中(例如 .equals("".google.com""))。
INVALID_CONTENT_TYPE 加载的资源与响应的 Content-Type HTTP 标头不匹配。 如需解决此发现结果,请使用正确的值设置 X-Content-Type-Options HTTP 标头。
INVALID_HEADER 安全标头存在语法错误,因此被浏览器忽略。如需解决此发现结果,请正确设置 HTTP 安全标头。
MISMATCHING_SECURITY_HEADER_VALUES 安全标头具有重复的、不匹配的值,这会导致未定义的行为。如需解决此发现结果,请正确设置 HTTP 安全标头。
MISSPELLED_SECURITY_HEADER_NAME 安全标头拼写错误并且被忽略。如需解决此发现结果,请正确设置 HTTP 安全标头。
MIXED_CONTENT 资源是通过 HTTPS 页面上的 HTTP 提供的。如需解决此发现结果,请确保所有资源均通过 HTTPS 提供。
OUTDATED_LIBRARY 检测到有已知漏洞的库。如需解决此发现结果,请将库升级到较新版本。
SERVER_SIDE_REQUEST_FORGERY 检测到服务器端请求伪造 (SSRF) 漏洞。如需解决此发现结果,请使用许可名单限制 Web 应用可向哪些网域和 IP 地址发出请求。
SESSION_ID_LEAK 在发出跨域请求时,Web 应用会在其引荐来源网址请求标头中添加用户的会话标识符。此漏洞可让接收网域访问会话标识符,该标识符可用于模拟或唯一标识用户。
SQL_INJECTION 检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询,防止用户输入影响 SQL 查询的结构。
STRUTS_INSECURE_DESERIALIZATION 检测到使用了存在漏洞的 Apache Struts 版本。如需解决此发现结果,请将 Apache Struts 升级到最新版本。
XSS 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。如需解决此发现结果,请验证并转义不受信任的用户提供的数据。
XSS_ANGULAR_CALLBACK 用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。如需解决此发现结果,请验证并转义由 Angular 框架处理的不受信任的用户提供的数据。
XSS_ERROR 此 Web 应用中的字段容易受到跨站脚本攻击。如需解决此发现结果,请验证并转义不受信任的用户提供的数据。
XXE_REFLECTED_FILE_LEAKAGE 检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置 XML 解析器以禁止使用外部实体。
BASIC_AUTHENTICATION_ENABLED 应在 Kubernetes 集群上启用 IAM 或客户端证书身份验证。
CLIENT_CERT_AUTHENTICATION_DISABLED 应在启用客户端证书的情况下创建 Kubernetes 集群。
LABELS_NOT_USED 标签可用于细分结算信息。
PUBLIC_STORAGE_OBJECT 存储对象 ACL 不应向 allUsers 授予访问权限。
SQL_BROAD_ROOT_LOGIN 对 SQL 数据库的根访问权限应仅限于列入许可名单的可信 IP。
WEAK_CREDENTIALS 此检测器使用无破解暴力破解方法来检查凭据是否安全系数低。

支持的服务:SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、 DICOM

ELASTICSEARCH_API_EXPOSED Elasticsearch API 允许调用方执行任意查询、编写和执行脚本,以及向服务添加其他文档。
EXPOSED_GRAFANA_ENDPOINT 在 Grafana 8.0.0 到 8.3.0 中,用户无需身份验证即可访问存在目录遍历漏洞的端点,任何用户无需进行身份验证即可读取服务器上的任何文件。如需了解详情,请参阅 CVE-2021-43798
EXPOSED_METABASE 开源数据分析平台 Metabase 的 x.40.0 至 x.40.4 版本存在漏洞,自定义 GeoJSON 地图支持和包含的本地文件(包括环境变量)可能存在漏洞。网址在加载之前未经验证。如需了解详情,请参阅 CVE-2021-41277
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT 此检测器会检查 Spring Boot 应用的敏感 Actuator 端点是否泄露。某些默认端点(如 /heapdump)可能会公开敏感信息。其他端点(例如 /env)可能会导致远程执行代码。目前只检查 /heapdump。
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API 此检测器会检查 Hadoop Yarn ResourceManager API(用于控制 Hadoop 集群的计算和存储资源)是否已公开,并允许执行未经身份验证的代码。
JAVA_JMX_RMI_EXPOSED 通过 Java Management Extension (JMX),您可以对 Java 应用程序进行远程监控和诊断。如果运行 JMX 时使用的是不受保护的远程方法调用端点,任何远程用户都可以创建 javax.management.loading.MLet MBean 并使用它通过任意网址创建新的 MBean。
JUPYTER_NOTEBOOK_EXPOSED_UI 此检测器会检查未经身份验证的 Jupyter 笔记本是否泄露。Jupyter 允许从设计上在宿主机上远程执行代码。未经身份验证的 Jupyter 笔记本会使托管虚拟机面临远程执行代码的风险。
KUBERNETES_API_EXPOSED Kubernetes API 已公开,可供未经身份验证的调用方访问。这将允许在 Kubernetes 集群上执行任意代码。
UNFINISHED_WORDPRESS_INSTALLATION 此检测器会检查 WordPress 安装是否尚未完成。如果未完成的 WordPress 安装,系统会显示 /wp-admin/install.php 页面,攻击者可通过该页面设置管理员密码,并可能会入侵系统。
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE 此检测器以匿名访问者的身份向 /view/all/newJob 端点发送探测 ping,以检查是否存在未经身份验证的 Jenkins 实例。经过身份验证的 Jenkins 实例会显示 createItem 表单,该表单允许创建任何可能导致远程代码执行的作业。
APACHE_HTTPD_RCE 我们在 Apache HTTP Server 2.4.49 中发现了一个漏洞,该漏洞允许攻击者利用路径遍历攻击将 网址 映射到预期的文档根目录之外的文件,并查看解释文件的来源,例如 CGI 脚本。该问题已知会在野外被利用。此问题会影响 Apache 2.4.49 和 2.4.50,但不会影响早期版本。如需详细了解此漏洞,请参阅:

CVE 记录 CVE-2021-41773

Apache HTTP Server 2.4 漏洞

APACHE_HTTPD_SSRF 攻击者可以创建 Apache Web 服务器的 URI,导致 mod_proxy 将请求转发到攻击者所选的源服务器。此问题会影响 Apache HTTP Server 2.4.48 及更早版本。如需详细了解此漏洞,请参阅:

CVE 记录 CVE-2021-40438

Apache HTTP Server 2.4 漏洞

CONSUL_RCE 攻击者可以在 Consul 服务器上执行任意代码,因为 Consul 实例配置了 -enable-script-checks 设置为 true,并且 Consul HTTP API 不安全,可以通过网络访问。在 Consul 0.9.0 及更低版本中,脚本检查默认处于启用状态。如需了解详情,请参阅在特定配置中保护 Consul 免受 RCE 风险的影响。为了检查此漏洞,快速漏洞检测使用 /v1/health/service REST 端点在 Consul 实例上注册一项服务,然后执行以下某项操作: * 向网络外的远程服务器发出 curl 命令。攻击者可以使用 curl 命令泄露服务器中的数据。 * printf 命令。然后,快速漏洞检测会使用 /v1/health/service REST 端点验证该命令的输出。 * 检查后,快速漏洞检测使用 /v1/agent/service/deregister/ REST 端点清理并取消注册该服务。
DRUID_RCE Apache Druid 可以执行用户提供的嵌入各种类型请求的 JavaScript 代码。此功能适用于高信任环境,默认处于停用状态。不过,在 Druid 0.20.0 及更低版本中,无论服务器配置如何,通过身份验证的用户都可以发送特制请求,强制 Druid 针对该请求运行用户提供的 JavaScript 代码。攻击者可以利用该漏洞在目标机器上执行具有 Druid 服务器进程权限的代码。如需了解详情,请参阅 CVE-2021-25646 详情
DRUPAL_RCE

Drupal 7.58 之前的版本、8.3.9 之前的 8.x、8.4.6 之前的 8.4.x 和 8.5.1 之前的 8.5.x 版本都容易遭到 Form API AJAX 请求远程代码执行。

如果启用了 RESTful 网络服务模块或 JSON:API,则 8.5.11 之前的 Drupal 8.5.x 版本和 8.6.10 之前的 8.6.x 版本很容易遭到远程代码执行。未经身份验证的攻击者可能会使用自定义 POST 请求来利用此漏洞。
FLINK_FILE_DISCLOSURE Apache Flink 版本 1.11.0、1.11.1 和 1.11.2 中有一个漏洞,攻击者可通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。访问权限仅限于 JobManager 进程可访问的文件。
GITLAB_RCE 在 GitLab 社区版 (CE) 和 Enterprise Edition (EE) 11.9 及更高版本中,GitLab 无法正确验证传递给文件解析器的图片文件。攻击者可利用此漏洞远程执行命令。
GoCD_RCE 在 GoCD 21.2.0 及更早版本中,有一个端点无需身份验证即可访问。此端点存在一个目录遍历漏洞,该漏洞让用户无需进行身份验证即可读取服务器上的任何文件。
JENKINS_RCE Jenkins 2.56 及更早版本、2.46.1 LTS 及更早版本容易受到远程代码执行攻击。未经身份验证的攻击者使用恶意序列化 Java 对象可能会触发此漏洞。
JOOMLA_RCE

Joomla 3.4.6 之前的版本 1.5.x、2.x 和 3.x 容易遭到远程代码执行。攻击者可能会利用精心设计的包含序列化 PHP 对象的标头来触发此漏洞。

Joomla 3.0.0 至 3.4.6 版容易受到远程代码执行攻击。发送包含精心设计的序列化 PHP 对象的 POST 请求可能会触发此漏洞。
LOG4J_RCE 在 Apache Log4j2 2.14.1 和更早版本中,配置、日志消息和参数中使用的 JNDI 功能无法防范攻击者控制的 LDAP 和其他 JNDI 相关端点。如需了解详情,请参阅 CVE-2021-44228
MANTISBT_PRIVILEGE_ESCALATION MantisBT 至 2.3.0 版,通过向 verify.php 提供空的 Confirm_hash 值,允许任意重设密码和未经身份验证的管理员访问。
OGNL_RCE Confluence 服务器和数据中心实例中存在一个 OGNL 注入漏洞,该漏洞可让未经身份验证的攻击者执行任意代码。如需了解详情,请参阅 CVE-2021-26084
OPENAM_RCE 多个页面上的 jato.pageSession 参数中有一个 Java 反序列化漏洞,OpenAM 服务器 14.6.2 及更早版本和 ForgeRock AM 服务器 6.5.3 及更早版本存在一个漏洞。利用漏洞攻击不需要身份验证,并且向服务器发送单独创建的 /ccversion/* 请求可触发远程代码执行。此漏洞存在是因为使用 Sun ONE 应用。如需了解详情,请参阅 CVE-2021-35464
ORACLE_WEBLOGIC_RCE Oracle Fusion Middleware(组件:控制台)的某些 Oracle WebLogic Server 产品存在漏洞,版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。这个易于被利用的漏洞可让未经身份验证的攻击者通过 HTTP 访问网络,从而破坏 Oracle WebLogic Server。此漏洞的成功攻击可能会导致 Oracle WebLogic Server 被接管。如需了解详情,请参阅 CVE-2020-14882
PHPUNIT_RCE 5.6.3 之前的 PHPUnit 版本允许通过单个未经身份验证的 POST 请求远程执行代码。
PHP_CGI_RCE 当配置为 CGI 脚本时,5.3.12 之前的 PHP 版本和 5.4.2 之前的 5.4.x 版本允许远程执行代码。易受攻击的代码无法正确处理缺少 =(等号)字符的查询字符串。这样一来,攻击者便可以添加在服务器上执行的命令行选项。
PORTAL_RCE 在 7.2.1 CE GA2 之前的 Liferay Portal 版本中,不受信任的数据反序列化功能可让远程攻击者通过 JSON Web 服务执行任意代码。
REDIS_RCE 如果 Redis 实例不需要进行身份验证即可执行管理员命令,则攻击者或许能够执行任意代码。
SOLR_FILE_EXPOSED Apache Solr(一个开源搜索服务器)中未启用身份验证。当 Apache Solr 不需要身份验证时,攻击者可以直接编写请求以启用特定配置,并最终实现服务器端请求伪造 (SSRF) 或读取任意文件。
SOLR_RCE 如果 params.resource.loader.enabled 设置为 true,则从 Apache Solr 5.0.0 到 Apache Solr 8.3.1 容易通过 VelocityResponseWriter 远程执行代码。这样一来,攻击者就能创建包含恶意 Velocity 模板的参数。
STRUTS_RCE
  • 2.3.32 之前的 Apache Struts 版本以及 2.5.10.1 之前的 2.5.x 版本容易遭到远程代码执行。未经身份验证的攻击者提供了虚假的 Content-Type 标头,可能会触发此漏洞。
  • Apache Struts 2.1.1 至 2.3.x 版(2.3.34 之前的版本)中的 REST 插件以及 2.5.13 之前的 2.5.x 版中的 REST 插件,在反序列化制作的 XML 有效负载时,很容易远程执行代码。
  • 当“alwaysSelectFullnamespace”设置为 true 且存在某些其他操作配置时,Apache Struts 版本 2.3 至 2.3.34 以及 2.5 至 2.5.16 容易遭到远程代码执行。
TOMCAT_FILE_DISCLOSURE Apache Tomcat 9.x 版本(9.0.31 之前的版本)、8.x 版本(8.5.51 之前)、7.x 版本(7.0.100 之前)以及所有 6.x 版本都可通过公开的 Apache JServ Protocol 连接器攻击源代码和配置披露。在某些情况下,如果允许上传文件,系统会将其用于远程执行代码。
VBULLETIN_RCE 运行 5.0.0 到 5.5.4 版本之间的 vBulletin 服务器容易遭到远程代码执行。未经身份验证的攻击者可以在路线字符串请求中使用查询参数来利用此漏洞。
VCENTER_RCE 7.0 U1c 之前的 VMware vCenter Server 7.x 版本、6.7 U3l 之前的 6.7 版本以及 6.5 U3n 之前的 6.5 版本容易遭到远程代码执行。攻击者可能会将精心制作的 Java Server Pages 文件上传到可供网络访问的目录,然后触发该文件的执行,从而触发此漏洞。
WEBLOGIC_RCE Oracle Fusion Middleware(组件:控制台)的某些 Oracle WebLogic Server 产品存在远程代码执行漏洞,包括版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。此漏洞与 CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 相关。如需了解详情,请参阅 CVE-2020-14883
OS_VULNERABILITY 虚拟机管理器在 Compute Engine 虚拟机的已安装操作系统 (OS) 软件包中检测到一个漏洞。
UNUSED_IAM_ROLE IAM Recommender 检测到用户帐号的 IAM 角色在过去 90 天内未使用过。

支持的 GCP_SECURITYCENTER_MISCONFIGURATION 发现结果

您可以在字段映射参考:MISCONFIGURATION 表格中找到 UDM 映射。

查找名称 说明
API_KEY_APIS_UNRESTRICTED 有些 API 密钥使用的过于广泛。如需解决此问题,请限制 API 密钥的使用,以仅允许应用所需的 API。
API_KEY_APPS_UNRESTRICTED 有以不受限制的方式使用 API 密钥,允许任何不受信任的应用使用
API_KEY_EXISTS 项目使用的是 API 密钥,而非标准身份验证。
API_KEY_NOT_ROTATED API 密钥已超过 90 天未轮替
PUBLIC_COMPUTE_IMAGE Compute Engine 映像可公开访问。
CONFIDENTIAL_COMPUTING_DISABLED 已对 Compute Engine 实例停用机密计算。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED 使用项目范围的 SSH 密钥,允许登录项目中的所有实例。
COMPUTE_SECURE_BOOT_DISABLED 此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 Rootkit 和 bootkit 等高级威胁的攻击。
DEFAULT_SERVICE_ACCOUNT_USED 实例配置为使用默认服务帐号。
FULL_API_ACCESS 实例配置为使用对所有 Google Cloud API 拥有完整访问权限的默认服务帐号。
OS_LOGIN_DISABLED 此实例上已停用 OS Login。
PUBLIC_IP_ADDRESS 实例具有公共 IP 地址。
SHIELDED_VM_DISABLED 此实例上已停用安全强化型虚拟机。
COMPUTE_SERIAL_PORTS_ENABLED 已为实例启用串行端口,允许连接到实例的串行控制台。
DISK_CMEK_DISABLED 此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
HTTP_LOAD_BALANCER 实例使用的负载均衡器配置为使用目标 HTTP 代理,而不是目标 HTTPS 代理。
IP_FORWARDING_ENABLED 实例上启用了 IP 转发。
WEAK_SSL_POLICY 实例采用安全系数低的 SSL 政策。
BINARY_AUTHORIZATION_DISABLED 已在 GKE 集群上停用 Binary Authorization。
CLUSTER_LOGGING_DISABLED GKE 集群未启用 Logging。
CLUSTER_MONITORING_DISABLED GKE 集群上会停用监控功能。
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED 集群主机未配置为仅使用专用内部 IP 地址访问 Google API。
CLUSTER_SECRETS_ENCRYPTION_DISABLED GKE 集群已停用应用层 Secret 加密。
INTRANODE_VISIBILITY_DISABLED 已为 GKE 集群停用节点内可见性。
MASTER_AUTHORIZED_NETWORKS_DISABLED GKE 集群未启用控制平面授权网络。
NETWORK_POLICY_DISABLED 系统已在 GKE 集群上停用网络政策。
NODEPOOL_SECURE_BOOT_DISABLED 已为 GKE 集群停用安全启动。
OVER_PRIVILEGED_ACCOUNT 服务帐号在集群中的项目访问权限过于宽泛。
OVER_PRIVILEGED_SCOPES 节点服务帐号具有广泛的访问权限范围。
POD_SECURITY_POLICY_DISABLED 已在 GKE 集群上停用 PodSecurityPolicy。
PRIVATE_CLUSTER_DISABLED 某个 GKE 集群已停用专用集群。
WORKLOAD_IDENTITY_DISABLED GKE 集群未订阅发布渠道。
LEGACY_AUTHORIZATION_ENABLED 在 GKE 集群上启用了旧版授权。
NODEPOOL_BOOT_CMEK_DISABLED 此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
WEB_UI_ENABLED GKE 网页界面(信息中心)已启用。
AUTO_REPAIR_DISABLED GKE 集群的自动修复功能(用于使节点保持良好的运行状态)已停用。
AUTO_UPGRADE_DISABLED GKE 集群的自动升级功能(使集群和节点池保持在最新的稳定版 Kubernetes 上)已停用。
CLUSTER_SHIELDED_NODES_DISABLED 没有为集群启用安全强化型 GKE 节点
RELEASE_CHANNEL_DISABLED GKE 集群未订阅发布渠道。
BIGQUERY_TABLE_CMEK_DISABLED BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。
DATASET_CMEK_DISABLED BigQuery 数据集未配置为使用默认 CMEK。此检测器需要额外配置才能启用。
EGRESS_DENY_RULE_NOT_SET 防火墙上未设置出站流量拒绝规则。应设置出站拒绝规则,以屏蔽不需要的出站流量。
FIREWALL_RULE_LOGGING_DISABLED 防火墙规则日志记录已停用。您应启用防火墙规则日志记录,以便审核网络访问。
OPEN_CASSANDRA_PORT 防火墙已配置为具有允许一般访问的开放 Cassandra 端口。
OPEN_SMTP_PORT 防火墙配置为具有允许一般访问的开放 SMTP 端口。
OPEN_REDIS_PORT 防火墙已配置为具有允许一般访问的开放 REDIS 端口。
OPEN_POSTGRESQL_PORT 防火墙已配置为具有允许一般访问的开放 PostgreSQL 端口。
OPEN_POP3_PORT 防火墙配置为具有允许常规访问的开放 POP3 端口。
OPEN_ORACLEDB_PORT 防火墙已配置为具有允许一般访问的开放 NETBIOS 端口。
OPEN_NETBIOS_PORT 防火墙已配置为具有允许一般访问的开放 NETBIOS 端口。
OPEN_MYSQL_PORT 防火墙配置为具有允许一般访问的开放 MYSQL 端口。
OPEN_MONGODB_PORT 防火墙配置为具有允许一般访问的开放 MONGODB 端口。
OPEN_MEMCACHED_PORT 防火墙已配置为具有允许常规访问的开放 MEMCACHED 端口。
OPEN_LDAP_PORT 防火墙配置为具有允许一般访问的开放 LDAP 端口。
OPEN_FTP_PORT 防火墙配置为具有允许一般访问的开放 FTP 端口。
OPEN_ELASTICSEARCH_PORT 防火墙已配置为具有允许一般访问的开放 ELASTICSEARCH 端口。
OPEN_DNS_PORT 防火墙配置为具有允许一般访问的开放 DNS 端口。
OPEN_HTTP_PORT 防火墙配置为具有允许一般访问的开放 HTTP 端口。
OPEN_DIRECTORY_SERVICES_PORT 防火墙已配置为具有允许一般访问的开放 DIRECTORY_SERVICES 端口。
OPEN_CISCOSECURE_WEBSM_PORT 防火墙配置为具有允许一般访问的开放 CISCOSECURE_WEBSM 端口。
OPEN_RDP_PORT 防火墙配置为具有允许常规访问的开放 RDP 端口。
OPEN_TELNET_PORT 防火墙已配置为具有允许一般访问的开放 TELNET 端口。
OPEN_FIREWALL 防火墙配置为开放允许公开访问。
OPEN_SSH_PORT 防火墙配置为具有允许一般访问的开放 SSH 端口。
SERVICE_ACCOUNT_ROLE_SEPARATION 为用户分配了服务账号管理员和服务账号用户角色。这违反了“职责分离”原则。
NON_ORG_IAM_MEMBER 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,目前只有电子邮件地址为 @gmail.com 的身份才会触发此检测器。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER 用户拥有项目级的 Service Account User 或 Service Account Token Creator 角色,而不是特定服务帐号的角色。
ADMIN_SERVICE_ACCOUNT 服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务帐号。
SERVICE_ACCOUNT_KEY_NOT_ROTATED 服务帐号密钥已超过 90 天未轮替。
USER_MANAGED_SERVICE_ACCOUNT_KEY 用户管理服务帐号密钥。
PRIMITIVE_ROLES_USED 用户具有基本角色,如 Owner、Writer 或 Reader。这些角色过于宽松,不应使用。
KMS_ROLE_SEPARATION 系统不会强制执行职责分离,并且存在同时具有以下任一 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。
OPEN_GROUP_IAM_MEMBER 无需批准即可加入的 Google 群组帐号将用作 IAM 允许政策主帐号。
KMS_KEY_NOT_ROTATED 没有在 Cloud KMS 加密密钥上配置轮替。 密钥应在 90 天内轮替。
KMS_PROJECT_HAS_OWNER 用户对具有加密密钥的项目具有 Owner 权限。
TOO_MANY_KMS_USERS 使用加密密钥的用户超过三个。
OBJECT_VERSIONING_DISABLED 配置接收器的存储桶未启用对象版本控制。
LOCKED_RETENTION_POLICY_NOT_SET 没有为日志设置锁定的保留政策。
BUCKET_LOGGING_DISABLED 有一个未启用日志记录的存储桶。
LOG_NOT_EXPORTED 某个资源尚未配置适当的日志接收器。
AUDIT_LOGGING_DISABLED 此资源已停用审核日志记录。
MFA_NOT_ENFORCED 有一些用户未使用两步验证。
ROUTE_NOT_MONITORED 未配置日志指标和提醒以监控 VPC 网络路由更改。
OWNER_NOT_MONITORED 您未配置日志指标和提醒来监控项目所有权分配或更改。
AUDIT_CONFIG_NOT_MONITORED 未将日志指标和提醒配置为监控审核配置更改。
BUCKET_IAM_NOT_MONITORED 未将日志指标和提醒配置为监控 Cloud Storage IAM 权限更改。
CUSTOM_ROLE_NOT_MONITORED 未将日志指标和提醒配置为监控自定义角色更改。
FIREWALL_NOT_MONITORED 未将日志指标和提醒配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。
NETWORK_NOT_MONITORED 未配置日志指标和提醒以监控 VPC 网络更改。
SQL_INSTANCE_NOT_MONITORED 未将日志指标和提醒配置为监控 Cloud SQL 实例配置更改。
DEFAULT_NETWORK 项目中已存在默认网络。
DNS_LOGGING_DISABLED VPC 网络上的 DNS 日志记录未启用。
PUBSUB_CMEK_DISABLED Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
PUBLIC_SQL_INSTANCE Cloud SQL 数据库实例接受来自所有 IP 地址的连接。
SSL_NOT_ENFORCED Cloud SQL 数据库实例不要求所有传入连接都使用 SSL。
AUTO_BACKUP_DISABLED Cloud SQL 数据库未启用自动备份。
SQL_CMEK_DISABLED SQL 数据库实例未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
SQL_LOG_CHECKPOINTS_DISABLED Cloud SQL for PostgreSQL 实例的 log_checkpoints 数据库标志未设置为“开启”。
SQL_LOG_CONNECTIONS_DISABLED Cloud SQL for PostgreSQL 实例的 log_connections 数据库标志未设置为“开启”。
SQL_LOG_DISCONNECTIONS_DISABLED Cloud SQL for PostgreSQL 实例的 log_disconnections 数据库标志未设置为“开启”。
SQL_LOG_DURATION_DISABLED Cloud SQL for PostgreSQL 实例的 log_duration 数据库标志未设置为“开启”。
SQL_LOG_LOCK_WAITS_DISABLED Cloud SQL for PostgreSQL 实例的 log_lock_waits 数据库标志未设置为“开启”。
SQL_LOG_STATEMENT Cloud SQL for PostgreSQL 实例的 log_statement 数据库标志未设置为 Ddl(所有数据定义语句)。
SQL_NO_ROOT_PASSWORD Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
SQL_PUBLIC_IP Cloud SQL 数据库具有公共 IP 地址。
SQL_CONTAINED_DATABASE_AUTHENTICATION Cloud SQL for SQL Server 实例的包含数据库身份验证数据库标志未设置为关闭。
SQL_CROSS_DB_OWNERSHIP_CHAINING Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。
SQL_LOCAL_INFILE Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为关闭。
SQL_LOG_MIN_ERROR_STATEMENT Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。
SQL_LOG_TEMP_FILES Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。
SQL_REMOTE_ACCESS_ENABLED Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为关闭。
SQL_SKIP_SHOW_DATABASE_DISABLED Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为开启。
SQL_TRACE_FLAG_3625 Cloud SQL for SQL Server 实例的 3625(跟踪标志)数据库标志未设置为开启。
SQL_USER_CONNECTIONS_CONFIGURED 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。
SQL_USER_OPTIONS_CONFIGURED 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。
PUBLIC_BUCKET_ACL Cloud Storage 存储桶可公开访问。
BUCKET_POLICY_ONLY_DISABLED 未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。
BUCKET_CMEK_DISABLED 存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器
FLOW_LOGS_DISABLED 存在已停用流日志的 VPC 子网。
PRIVATE_GOOGLE_ACCESS_DISABLED 存在无法访问 Google 公共 API 的专用子网。
kms_key_region_europe 根据公司政策,所有加密密钥都应继续存储在欧洲。
kms_non_euro_region 根据公司政策,所有加密密钥都应继续存储在欧洲。
LEGACY_NETWORK 项目中已存在旧版网络。
LOAD_BALANCER_LOGGING_DISABLED 已对负载均衡器停用日志记录。

支持的 GCP_SECURITYCENTER_POSTURE_VIOLATION 发现结果

您可以在字段映射参考:POSTURE VIOLATION 表格中找到 UDM 映射。

查找名称 说明
SECURITY_POSTURE_DRIFT 偏离安全状态内定义的政策。这是由安全状况服务检测的。
SECURITY_POSTURE_POLICY_DRIFT Security Posture 服务检测到组织政策在安全状况更新之外发生了更改。
SECURITY_POSTURE_POLICY_DELETE Security Posture 服务检测到一项组织政策已被删除。此删除发生在安全状况更新之外。
SECURITY_POSTURE_DETECTOR_DRIFT 安全状况服务检测到 Security Health Analytics 检测器的变化发生在状态更新之外。
SECURITY_POSTURE_DETECTOR_DELETE Security Posture 服务检测到 Security Health Analytics 自定义模块已被删除。此删除发生在安全状况更新之外。

字段映射参考文档

本部分介绍 Chronicle 解析器如何将 Security Command Center 日志字段映射到数据集的 Chronicle 统一数据模型 (UDM) 字段。

字段映射参考:原始日志字段到 UDM 字段

下表列出了 Security Command Center Event Threat Detection 发现结果的日志字段和对应的 UDM 映射。

RawLog 字段 UDM 映射 逻辑
compliances.ids about.labels.key/value [compliance_ids]
compliances.version about.labels.key/value [compliance_version]
compliances.standard about.labels.key/value [compliances_standard]
connections.destinationIp about.labels[connections_destination_ip] 如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。
connections.destinationPort about.labels[connections_destination_port]
connections.protocol about.labels[connections_protocol]
connections.sourceIp about.labels[connections_source_ip]
connections.sourcePort about.labels[connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type 如果 message 日志字段值与正则表达式 kubernetes 匹配,则 target.resource_ancestors.resource_type UDM 字段会设为 CLUSTER。
about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type 如果 category 日志字段值等于 Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Two Step Verification DisabledPersistence: SSO Enablement Toggle,则 extension.auth.type UDM 字段设置为 SSO
extension.mechanism 如果 category 日志字段值等于 Brute Force: SSH,则 extension.mechanism UDM 字段会设置为 USERNAME_PASSWORD
extensions.auth.type 如果 principal.user.user_authentication_status 日志字段值等于 ACTIVE,则 extensions.auth.type UDM 字段会设置为 SSO
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name 如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 sourceProperties.properties.loadBalancerName 日志字段会映射到 intermediary.resource.name UDM 字段。
intermediary.resource.resource_type 如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 intermediary.resource.resource_type UDM 字段会设置为 BACKEND_SERVICE
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id 如果 canonicalName 日志字段值不为空,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id

如果 finding_id 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。

如果 canonicalName 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。
metadata.product_name metadata.product_name UDM 字段设置为 Security Command Center
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name metadata.vendor_name UDM 字段设置为 Google
network.application_protocol 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 network.application_protocol UDM 字段设置为 DNS
sourceProperties.properties.indicatorContext.asn network.asn 如果 category 日志字段值等于 Malware: Cryptomining Bad IP,则 sourceProperties.properties.indicatorContext.asn 日志字段会映射到 network.asn UDM 字段。
sourceProperties.properties.indicatorContext.carrierName network.carrier_name 如果 category 日志字段值等于 Malware: Cryptomining Bad IP,则 sourceProperties.properties.indicatorContext.carrierName 日志字段会映射到 network.carrier_name UDM 字段。
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.indicatorContext.reverseDnsDomain 日志字段会映射到 network.dns_domain UDM 字段。
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class 如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.responseClass 日志字段会映射到 network.dns.answers.class UDM 字段。
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data 如果 category 日志字段值与正则表达式 Malware: Bad Domain 匹配,则 sourceProperties.properties.dnsContexts.responseData.responseValue 日志字段会映射到 network.dns.answers.data UDM 字段。
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name 如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.domainName 日志字段会映射到 network.dns.answers.name UDM 字段。
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl 如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.ttl 日志字段会映射到 network.dns.answers.ttl UDM 字段。
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type 如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.responseType 日志字段会映射到 network.dns.answers.type UDM 字段。
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.authAnswer 日志字段会映射到 network.dns.authoritative UDM 字段。
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.queryName 日志字段会映射到 network.dns.questions.name UDM 字段。
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.queryType 日志字段会映射到 network.dns.questions.type UDM 字段。
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.responseCode 日志字段会映射到 network.dns.response_code UDM 字段。
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent 如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。
sourceProperties.properties.callerUserAgent network.http.user_agent 如果 category 日志字段值等于 Persistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup Script,则 sourceProperties.properties.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。
access.userAgentFamily network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent 如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。
sourceProperties.properties.ipConnection.protocol network.ip_protocol 如果 category 日志字段值等于 Malware: Bad IPMalware: Cryptomining Bad IPMalware: Outgoing DoS,则 network.ip_protocol UDM 字段会设置为以下值之一:
  • 当满足以下条件时,ICMP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 1ICMP
  • 当满足以下条件时,IGMP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 2IGMP
  • 当满足以下条件时,TCP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 6TCP
  • 当满足以下条件时,UDP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 17UDP
  • 当满足以下条件时,IP6IN4
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 41IP6IN4
  • 当满足以下条件时,GRE
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 47GRE
  • 当满足以下条件时,ESP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 50ESP
  • 当满足以下条件时,EIGRP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 88EIGRP
  • 当满足以下条件时,ETHERIP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 97ETHERIP
  • 当满足以下条件时,PIM
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 103PIM
  • 当满足以下条件时,VRRP
    • sourceProperties.properties.ipConnection.protocol 日志字段值等于 112VRRP
  • 如果 sourceProperties.properties.ipConnection.protocol 日志字段值等于任何其他值,则为 UNKNOWN_IP_PROTOCOL
    sourceProperties.properties.indicatorContext.organizationName network.organization_name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.indicatorContext.organizationName 日志字段会映射到 network.organization_name UDM 字段。
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration 如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.behaviorPeriod 日志字段会映射到 network.session_duration UDM 字段。
    sourceProperties.properties.sourceIp principal.ip 如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.sourceIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.attempts.sourceIp principal.ip 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 principal.ip UDM 字段。
    access.callerIp principal.ip 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Controlaccess.callerIpExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationPersistence: New GeographyPersistence: IAM Anomalous Grant,则 access.callerIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip 如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.changeFromBadIp.ip principal.ip 如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy,则 sourceProperties.properties.changeFromBadIp.ip 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.dnsContexts.sourceIp principal.ip 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.sourceIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.ipConnection.srcIp principal.ip 如果 category 日志字段值等于 Malware: Bad IPMalware: Cryptomining Bad IPMalware: Outgoing DoS,则 sourceProperties.properties.ipConnection.srcIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,如果 sourceProperties.properties.ipConnection.srcIp 日志字段值不等于 sourceProperties.properties.indicatorContext.ipAddress,则 sourceProperties.properties.indicatorContext.ipAddress 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.anomalousLocation.callerIp principal.ip 如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.callerIp 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.properties.scannerDomain principal.labels.key/value [sourceProperties_properties_scannerDomain] 如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.scannerDomain 日志字段会映射到 principal.labels.key/value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.jobState 日志字段会映射到 principal.labels.key/value UDM 字段。
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.indicatorContext.countryCode 日志字段会映射到 principal.location.country_or_region UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region 如果 category 日志字段值等于 Persistence: New GeographyPersistence: IAM Anomalous Grant,则 sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier 日志字段会映射到 principal.location.country_or_region UDM 字段。
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.anomalousLocation.anomalousLocation 日志字段会映射到 principal.location.name UDM 字段。
    sourceProperties.properties.ipConnection.srcPort principal.port 如果 category 日志字段值等于 Malware: Bad IPMalware: Outgoing DoS,则 sourceProperties.properties.ipConnection.srcPort 日志字段会映射到 principal.port UDM 字段。
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.srcVpc.subnetworkName 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.srcVpc.projectId 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.destVpc.vpcName 日志字段会映射到 principal.resource_ancestors.name UDM 字段,并且 principal.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] 如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.key/value UDM 字段。
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name 如果 sourceProperties.properties.projectId 日志字段值不为空,则 sourceProperties.properties.projectId 日志字段会映射到 principal.resource.name UDM 字段。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name 如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId 日志字段会映射到 principal.resource.name UDM 字段。
    sourceProperties.properties.sourceInstanceDetails principal.resource.name 如果 category 日志字段值等于 Malware: Outgoing DoS,则 sourceProperties.properties.sourceInstanceDetails 日志字段会映射到 principal.resource.name UDM 字段。
    principal.user.account_type 如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段设为 SERVICE_ACCOUNT_TYPE

    否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段设为 CLOUD_ACCOUNT_TYPE
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] 如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 principal.user.attribute.labels.key UDM 字段会设置为 rawUserAgent,并且 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent 日志字段会映射到 principal.user.attribute.labels.value UDM 字段。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy,则 sourceProperties.properties.changeFromBadIp.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google DriveInitial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackImpair Defenses: Strong Authentication DisabledImpair Defenses: Two Step Verification DisabledPersistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。

    如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    access.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service ControlExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationPersistence: New Geography,则 access.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses 如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.vpcViolation.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。
    sourceProperties.properties.ssoState principal.user.user_authentication_status 如果 category 日志字段值等于 Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Two Step Verification DisabledPersistence: SSO Enablement Toggle,则 sourceProperties.properties.ssoState 日志字段会映射到 principal.user.user_authentication_status UDM 字段。
    database.userName principal.user.userid 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.userName 日志字段会映射到 principal.user.userid UDM 字段。
    sourceProperties.properties.threatIntelligenceSource security_result.about.application 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.threatIntelligenceSource 日志字段会映射到 security_result.about.application UDM 字段。
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 security_result.about.ip UDM 字段。
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段。

    如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 CLOUD_PROJECT
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.allowedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 BACKEND_SERVICE
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.restrictedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 BACKEND_SERVICE
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.accessLevels.policyName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 ACCESS_POLICY
    security_result.about.user.attribute.roles.name 如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 security

    如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 Technical
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action 如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 security_result.action UDM 字段设置为 BLOCK

    如果 category 日志字段值等于 Brute Force: SSH,则如果 sourceProperties.properties.attempts.authResult 日志字段值等于 SUCCESS,则 security_result.action UDM 字段会设置为 BLOCK

    否则,security_result.action UDM 字段会设置为 BLOCK
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.restrictedResources.action 日志字段会映射到 security_result.action_details UDM 字段。
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.restrictedServices.action 日志字段会映射到 security_result.action_details UDM 字段。
    sourceProperties.properties.delta.allowedServices.action security_result.action_details 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.allowedServices.action 日志字段会映射到 security_result.action_details UDM 字段。
    sourceProperties.properties.delta.accessLevels.action security_result.action_details 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.accessLevels.action 日志字段会映射到 security_result.action_details UDM 字段。
    security_result.alert_state 如果 state 日志字段值等于 ACTIVE,则 security_result.alert_state UDM 字段会设置为 ALERTING

    否则,security_result.alert_state UDM 字段会设置为 NOT_ALERTING
    findingClass security_result.catgory_details findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。
    category security_result.catgory_details findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] 如果 mute 日志字段值等于 MUTEDUNMUTED,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] 如果 mute 日志字段值等于 MUTEDUNMUTED,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] 如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.authResult 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.indicatorType 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.customer_industry 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.customer_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.lasthit 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.myVote 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.support_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_class_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.upVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.downVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product 如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Over-Privileged GrantExfiltration: CloudSQL Restore Backup to External OrganizationInitial Access: Log4j Compromise AttemptMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IPPersistence: IAM Anomalous Grant,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] 如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IP,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] 如果 category 日志字段值等于 Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledPersistence: SSO Enablement TogglePersistence: SSO Settings Changed,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.key/value UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.public_tag_name 日志字段会映射到 intermediary.labels.key UDM 字段。
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.description 日志字段会映射到 intermediary.labels.value UDM 字段。
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] 如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority 如果 sourceProperties.detectionPriority 日志字段值等于 HIGH,则 security_result.priority UDM 字段设为 HIGH_PRIORITY

    否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM,则 security_result.priority UDM 字段设为 MEDIUM_PRIORITY

    否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW,则 security_result.priority UDM 字段设为 LOW_PRIORITY
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary 如果 category 日志字段值等于 Exfiltration: BigQuery Exfiltration,则 sourceProperties.properties.vpcViolation.violationReason 日志字段会映射到 security_result.summary UDM 字段。
    name security_result.url_back_to_product
    database.query src.process.command_line 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。
    parent src.resource_ancestors.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 parent 日志字段会映射到 src.resource_ancestors.name UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId 日志字段会映射到 src.resource_ancestors.name UDM 字段,并且 src.resource_ancestors.resource_type UDM 字段会设置为 TABLE
    resourceName src.resource_ancestors.name 如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。
    resource.folders.resourceFolder src.resource_ancestors.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolder 日志字段会映射到 src.resource_ancestors.name UDM 字段。
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.projectNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.organizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。
    resource.type src.resource_ancestors.resource_subtype 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。
    database.displayName src.resource.attribute.labels.key/value [database_displayName] 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    database.grantees src.resource.attribute.labels.key/value [database_grantees] 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.datasetId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.projectId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.resourceUri 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] 如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.backupId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] 如果 category 日志字段值等于 Exfiltration: CloudSQL Data ExfiltrationExfiltration: BigQuery Data Extraction,则 src.resource.attribute.labels.key/value 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    resourceName src.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name 如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段会设置为 CloudSQL
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name 如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段被设置为 CloudSQL

    否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.cloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段被设置为 CloudSQL
    database.name src.resource.name
    exfiltration.sources.name src.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.tableId 日志字段会映射到 src.resource.product_object_id UDM 字段。
    access.serviceName target.application 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service ControlExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationExfiltration: CloudSQL Over-Privileged GrantPersistence: New GeographyPersistence: IAM Anomalous Grant,则 access.serviceName 日志字段会映射到 target.application UDM 字段。
    sourceProperties.properties.serviceName target.application 如果 category 日志字段值等于 Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledImpair Defenses: Two Step Verification DisabledPersistence: SSO Enablement TogglePersistence: SSO Settings Changed,则 sourceProperties.properties.serviceName 日志字段会映射到 target.application UDM 字段。
    sourceProperties.properties.domainName target.domain.name 如果 category 日志字段值等于 Persistence: SSO Enablement TogglePersistence: SSO Settings Changed,则 sourceProperties.properties.domainName 日志字段会映射到 target.domain.name UDM 字段。
    sourceProperties.properties.domains.0 target.domain.name 如果 category 日志字段值等于 Malware: Bad DomainMalware: Cryptomining Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.domains.0 日志字段会映射到 target.domain.name UDM 字段。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] 如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] 如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name 如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.permissions 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name 如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name 如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name 如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name 如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name 如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name 如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name 如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。
    sourceProperties.properties.ipConnection.destIp target.ip 如果 category 日志字段值等于 Malware: Bad IPMalware: Cryptomining Bad IPMalware: Outgoing DoS,则 sourceProperties.properties.ipConnection.destIp 日志字段会映射到 target.ip UDM 字段。
    access.methodName target.labels.key/value [access_methodName]
    processes.argumentsTruncated target.labels.key/value [processes_argumentsTruncated]
    processes.binary.contents target.labels.key/value [processes_binary_contents]
    processes.binary.hashedSize target.labels.key/value [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels.key/value [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels.key/value [processes_envVariables_name]
    processes.envVariables.val target.labels.key/value [processes_envVariables_val]
    processes.envVariablesTruncated target.labels.key/value [processes_envVariablesTruncated]
    processes.libraries.contents target.labels.key/value [processes_libraries_contents]
    processes.libraries.hashedSize target.labels.key/value [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels.key/value [processes_libraries_partiallyHashed]
    processes.script.contents target.labels.key/value [processes_script_contents]
    processes.script.hashedSize target.labels.key/value [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels.key/value [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels.key/value [sourceProperties_properties_methodName] 如果 category 日志字段值等于 Impair Defenses: Strong Authentication DisabledInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedPersistence: SSO Enablement TogglePersistence: SSO Settings Changed,则 sourceProperties.properties.methodName 日志字段会映射到 target.labels.value UDM 字段。
    sourceProperties.properties.network.location target.location.name 如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.network.location 日志字段会映射到 target.location.name UDM 字段。
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port 如果 category 日志字段值等于 Malware: Bad IPMalware: Outgoing DoS,则 sourceProperties.properties.ipConnection.destPort 日志字段会映射到 target.port UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.query 日志字段会映射到 target.process.command_line UDM 字段。
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] containers.labels.name 日志字段会映射到 target.resource_ancestors.attribute.labels.key UDM 字段,containers.labels.value 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.destVpc.projectId 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IP,则 sourceProperties.properties.destVpc.subnetworkName 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] 如果 category 日志字段值等于 Malware: Bad IPMalware: Cryptomining Bad IP,则 sourceProperties.properties.network.subnetworkName 日志字段会映射到 target.resource_ancestors.value UDM 字段。
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] 如果 category 日志字段值等于 Malware: Bad IPMalware: Cryptomining Bad IP,则 sourceProperties.properties.network.subnetworkId 日志字段会映射到 target.resource_ancestors.value UDM 字段。
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpcName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    resourceName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.projectId target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    parent target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    containers.name target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name 如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name 如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。
    kubernetes.pods.containers.name target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainConfigurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK

    Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type







    sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id 如果 category 日志字段值等于 Persistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 sourceProperties.properties.gceInstanceId 日志字段会映射到 target.resource_ancestors.product_object_id UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id 如果 category 日志字段值等于 Persistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id 如果 category 日志字段值等于 Persistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id 如果 category 日志字段值等于 Persistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE
    containers.imageId target.resource_ancestors.product_object_id 如果 category 日志字段值等于 Persistence: GCE Admin Added Startup ScriptPersistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。
    canonicalName metadata.product_log_id 使用 Grok 模式从 canonicalName 日志字段提取 finding_id

    如果 finding_id 日志字段值为空,则 finding_id 日志字段会映射到 metadata.product_log_id UDM 字段。
    canonicalName src.resource.attribute.labels.key/value [finding_id] 如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] 如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] 如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] 如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 target.resource.attribute.labels.key UDM 字段会设置为 exportScope,并且 sourceProperties.properties.exportToGcs.exportScope 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.objectName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.originalUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] 如果 category 日志字段值等于 Persistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup Script,则 sourceProperties.properties.metadataKeyOperation 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] 如果 category 日志字段值等于 Exfiltration: CloudSQL Data ExfiltrationExfiltration: BigQuery Data Extraction,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name 如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketAccess 日志字段会映射到 target.resource.attribute.permissions.name UDM 字段。
    sourceProperties.properties.name target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    resourceName target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.attempts.vmName target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceDetails target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    exfiltration.targets.name target.resource.name 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control,然后 日志字段映射到“target.resource.name UDM 和”。categorycategorycategorycategorycategorycategorysourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceId target.resource.product_object_id 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.instanceId 日志字段会映射到 target.resource.product_object_id UDM 字段。
    kubernetes.pods.containers.imageId target.resource.product_object_id
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.resource_subtype UDM 字段。

    否则,如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 target.resource.resource_subtype UDM 字段设为 Privileged Group

    否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 target.resource.resource_subtype UDM 字段会设为 BigQuery
    target.resource.resource_type 如果 sourceProperties.properties.extractionAttempt.destinations.collectionType 日志字段值与正则表达式 BUCKET 匹配,则 target.resource.resource_type UDM 字段设置为 STORAGE_BUCKET

    如果 category 日志字段值等于 Brute Force: SSH,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE

    如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IP,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE 时,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE

    categoryExfiltration: BigQuery Data ExfiltrationTABLE
    sourceProperties.properties.extractionAttempt.jobLink target.url 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。

    如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。
    sourceProperties.properties.exportToGcs.gcsUri target.url 如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.gcsUri 日志字段会映射到 target.url UDM 字段。
    sourceProperties.properties.requestUrl target.url 如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 sourceProperties.properties.requestUrl 日志字段会映射到 target.url UDM 字段。
    sourceProperties.properties.policyLink target.url 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.policyLink 日志字段会映射到 target.url UDM 字段。
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] 如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.notSeenInLast 日志字段会映射到 target.user.attribute.labels.value UDM 字段。
    sourceProperties.properties.attempts.username target.user.userid 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.username 日志字段会映射到 target.user.userid UDM 字段。

    如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 userid 日志字段会映射到 target.user.userid UDM 字段。
    sourceProperties.properties.principalEmail target.user.userid 如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 userid 日志字段会映射到 target.user.userid UDM 字段。
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels.key/value [Environment_Variables_name]
    target.labels.key/value [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name 如果 category 日志字段值等于 Added Binary ExecutedAdded Library Loaded,则 sourceProperties.VM_Instance_Name 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name 如果 category 日志字段值等于 Increasing Deny RatioAllowed Traffic SpikeApplication DDoS Attack Attempt,则 sourceProperties.Backend_Service 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type 如果 category 日志字段值等于 Increasing Deny RatioAllowed Traffic SpikeApplication DDoS Attack Attempt,则 target.resource.resource_type UDM 字段设置为 BACKEND_SERVICE

    如果 category 日志字段值等于 Configurable Bad Domain,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE
    is_alert 如果 state 日志字段值等于 ACTIVE,那么如果 mute_is_not_present 字段值不等于 true 且(mute 日志字段值等于 UNMUTEDmute 日志字段值等于 UNDEFINED),则 is_alert UDM 字段设置为 true,否则,is_alert UDM 字段设置为 false
    is_significant 如果 state 日志字段值等于 ACTIVE,那么如果 mute_is_not_present 字段值不等于 true 且(mute 日志字段值等于 UNMUTEDmute 日志字段值等于 UNDEFINED),则 is_significant UDM 字段设置为 true,否则,is_significant UDM 字段设置为 false
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok:从 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段提取了 user_id,然后 user_id 字段会映射到 principal.user.userid UDM 字段。
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok:从 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段提取了 user_id,然后 user_id 字段会映射到 principal.user.userid UDM 字段。
    resourceName principal.asset.location.name 如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,那么 Grok:从 resourceName 日志字段提取 project_nameregionzone_suffixasset_prod_obj_id,则 region 日志字段会映射到 principal.asset.location.name UDM 字段。
    resourceName principal.asset.product_object_id 如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,那么 Grok:从 resourceName 日志字段提取 project_nameregionzone_suffixasset_prod_obj_id,则 asset_prod_obj_id 日志字段会映射到 principal.asset.product_object_id UDM 字段。
    resourceName principal.asset.attribute.cloud.availability_zone 如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,那么 Grok:从 resourceName 日志字段提取 project_nameregionzone_suffixasset_prod_obj_id,则 zone_suffix 日志字段会映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。
    resourceName principal.asset.attribute.labels[project_name] 如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,那么 Grok:从 resourceName 日志字段提取 project_nameregionzone_suffixasset_prod_obj_id,则 project_name 日志字段会映射到 principal.asset.attribute.labels.value UDM 字段。
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions,则 sourceProperties.properties.failedActions.methodName 日志字段会映射到 target.labels UDM 字段。
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions,则 sourceProperties.properties.failedActions.serviceName 日志字段会映射到 target.labels UDM 字段。
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions,则 sourceProperties.properties.failedActions.attemptTimes 日志字段会映射到 target.labels UDM 字段。
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions,则 sourceProperties.properties.failedActions.lastOccurredTime 日志字段会映射到 target.labels UDM 字段。

    字段映射参考:事件标识符到事件类型

    事件标识符 事件类型 安全类别
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED 探索
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED 探索
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    下表包含 Security Command Center 的 UDM 事件类型和 UDM 字段映射 - VULNERABILITYMISCONFIGURATIONOBSERVATIONERRORUNSPECIFIEDPOSTURE_VIOLATION 发现结果类。

    漏洞 (VULNERABILITY) 类别转换为 UDM 事件类型

    下表列出了漏洞类别及其对应的 UDM 事件类型。

    事件标识符 事件类型 安全类别
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK 探索
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED

    MISCONFIGURATION 类别转换为 UDM 事件类型

    下表列出了“MISCONFIGURATION”类别及其对应的 UDM 事件类型。

    事件标识符 事件类型
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    “观察”类别转换为 UDM 事件类型

    下表列出了“观察”类别及其对应的 UDM 事件类型。

    事件标识符 事件类型
    持久性:项目 SSH 密钥已添加 SETTING_MODIFICATION
    持久性:添加敏感角色 RESOURCE_PERMISSIONS_CHANGE
    影响:创建了 GPU 实例 USER_RESOURCE_CREATION
    影响:许多实例已创建 USER_RESOURCE_CREATION

    将 ERROR 类别转换为 UDM 事件类型

    下表列出了 ERROR 类别及其对应的 UDM 事件类型。

    事件标识符 事件类型
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    未指定类别到 UDM 事件类型

    下表列出了 UNSPECIFIED 类别及其对应的 UDM 事件类型。

    事件标识符 事件类型 安全类别
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    将 POSTURE_VIOLATION 类别转换为 UDM 事件类型

    下表列出了 POSTURE_VIOLATION 类别及其对应的 UDM 事件类型。

    事件标识符 事件类型
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    字段映射参考:VULNERABILITY

    下表列出了漏洞类别的日志字段及其对应的 UDM 字段。

    RawLog 字段 UDM 映射 逻辑
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [sourceProperties_name]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    category extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name 使用 Grok 模式从 resourceName 提取 region,并映射到 principal.asset.location.name UDM 字段。
    resourceName principal.asset.product_object_id 使用 Grok 模式从 resourceName 提取 asset_prod_obj_id,并映射到 principal.asset.product_object_id UDM 字段。
    resourceName principal.asset.attribute.cloud.availability_zone 使用 Grok 模式从 resourceName 提取 zone_suffix,并映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    字段映射参考:MISCONFIGURATION

    下表列出了“MISCONFIGURATION”类别的日志字段及其对应的 UDM 字段。

    RawLog 字段 UDM 映射
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    字段映射参考:OBSERVATION

    下表列出了“观察”类别的日志字段及其对应的 UDM 字段。

    RawLog 字段 UDM 映射
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [asset_display_name]
    assetId target.asset.asset_id

    字段映射参考:ERROR

    下表列出了 ERROR 类别的日志字段及其对应的 UDM 字段。

    RawLog 字段 UDM 映射
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    字段映射参考:UNSPECIFIED

    下表列出了 UNSPECIFIED 类别的日志字段及其对应的 UDM 字段。

    RawLog 字段 UDM 映射
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    字段映射参考文档:POSTURE_VIOLATION

    下表列出了 POSTURE_VIOLATION 类别的日志字段及其对应的 UDM 字段。

    日志字段 UDM 映射 逻辑
    finding.resourceName target.resource_ancestors.name 如果 finding.resourceName 日志字段值不为空,则 finding.resourceName 日志字段会映射到 target.resource.name UDM 字段。

    使用 Grok 模式从 finding.resourceName 日志字段提取 project_name 字段。

    如果 project_name 字段值为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。
    resourceName target.resource_ancestors.name 如果 resourceName 日志字段值不为空,则 resourceName 日志字段会映射到 target.resource.name UDM 字段。

    使用 Grok 模式从 resourceName 日志字段提取 project_name 字段。

    如果 project_name 字段值不为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment 如果 finding.cloudProvider 日志字段值包含以下某个值,则 finding.cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    cloudProvider about.resource.attribute.cloud.environment 如果 cloudProvider 日志字段值包含以下某个值,则 cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.cloudProvider target.resource.attribute.cloud.environment 如果 resource.cloudProvider 日志字段值包含以下某个值,则 resource.cloudProvider 日志字段会映射到 target.resource.attribute.cloud.environment UDM 字段。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    通用字段:SECURITY Command CENTER - 漏洞、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION

    下表列出了 SECURITY Command CENTER 的通用字段 - VULNERABILITYMISCONFIGURATIONOBSERVATIONERRORUNSPECIFIEDPOSTURE_VIOLATIONTOXIC_COMBINATION 类别及其对应的 UDM 字段。

    RawLog 字段 UDM 映射 逻辑
    compliances.ids about.labels.key/value [compliance_ids]
    compliances.version about.labels.key/value [compliance_version]
    compliances.standard about.labels.key/value [compliances_standard]
    connections.destinationIp about.labels[connections_destination_ip] 如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。
    connections.destinationPort about.labels[connections_destination_port]
    connections.protocol about.labels[connections_protocol]
    connections.sourceIp about.labels[connections_source_ip]
    connections.sourcePort about.labels[connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type target.resource_ancestors.resource_type UDM 字段设置为 CLUSTER
    about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id 如果 canonicalName 日志字段值不为空,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id

    如果 finding_id 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。

    如果 canonicalName 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] 如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.value UDM 字段。
    resource.projectName principal.resource.name
    principal.user.account_type 如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段设为 SERVICE_ACCOUNT_TYPE

    否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段设为 CLOUD_ACCOUNT_TYPE
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name 如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 security

    如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 Technical
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state 如果 state 日志字段值等于 ACTIVE,则 security_result.alert_state UDM 字段会设置为 ALERTING

    否则,security_result.alert_state UDM 字段会设置为 NOT_ALERTING
    findingClass, category security_result.catgory_details findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] 如果 mute 日志字段值等于 MUTEDUNMUTED,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] 如果 mute 日志字段值等于 MUTEDUNMUTED,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product 如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Over-Privileged GrantExfiltration: CloudSQL Restore Backup to External OrganizationInitial Access: Log4j Compromise AttemptMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IPPersistence: IAM Anomalous Grant,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] 如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IP,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] 如果 category 日志字段值等于 Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledPersistence: SSO Enablement TogglePersistence: SSO Settings Changed,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority 如果 sourceProperties.detectionPriority 日志字段值等于 HIGH,则 security_result.priority UDM 字段设为 HIGH_PRIORITY

    否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM,则 security_result.priority UDM 字段设为 MEDIUM_PRIORITY

    否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW,则 security_result.priority UDM 字段设为 LOW_PRIORITY
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。

    否则,database.query 日志字段会映射到 target.process.command_line UDM 字段。
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。

    否则,resource.folders.resourceFolderDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。

    否则,resource.parentDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。

    否则,resource.parentName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。

    否则,resource.projectDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.type src.resource_ancestors.resource_subtype 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。
    database.displayName src.resource.attribute.labels.key/value [database_displayName] 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    database.grantees src.resource.attribute.labels.key/value [database_grantees] 如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。

    否则,resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。

    否则,resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.type src.resource_ancestors.resource_subtype 如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。

    否则,resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExfiltrationExfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。

    否则,resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] 如果 category 日志字段值等于 Exfiltration: CloudSQL Data ExfiltrationExfiltration: BigQuery Data Extraction,则 exfiltration.sources.components 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。
    resourceName src.resource.name 如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: BigQuery Data Exfiltration,则 resourceName 日志字段会映射到 src.resource.name UDM 字段。
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application 如果 category 日志字段值等于 Defense Evasion: Modify VPC Service ControlExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationExfiltration: CloudSQL Over-Privileged GrantPersistence: New GeographyPersistence: IAM Anomalous Grant,则 access.serviceName 日志字段会映射到 target.application UDM 字段。
    access.methodName target.labels.key/value [access_methodName]
    processes.argumentsTruncated target.labels.key/value [processes_argumentsTruncated]
    processes.binary.contents target.labels.key/value [processes_binary_contents]
    processes.binary.hashedSize target.labels.key/value [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels.key/value [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels.key/value [processes_envVariables_name]
    processes.envVariables.val target.labels.key/value [processes_envVariables_val]
    processes.envVariablesTruncated target.labels.key/value [processes_envVariablesTruncated]
    processes.libraries.contents target.labels.key/value [processes_libraries_contents]
    processes.libraries.hashedSize target.labels.key/value [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels.key/value [processes_libraries_partiallyHashed]
    processes.script.contents target.labels.key/value [processes_script_contents]
    processes.script.hashedSize target.labels.key/value [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels.key/value [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name 如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IP,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。

    否则,如果 category 日志字段值等于 Brute Force: SSH,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。

    否则,如果是,category 日志字段值等于 Persistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup Script,则 sourceProperties.properties.projectId 日志字段会映射到 target.resource_ancestors.name UDM 字段。
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone 如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。
    canonicalName metadata.product_log_id 使用 Grok 模式从 canonicalName 日志字段提取 finding_id

    如果 finding_id 日志字段值为空,则 finding_id 日志字段会映射到 metadata.product_log_id UDM 字段。
    canonicalName src.resource.attribute.labels.key/value [finding_id] 如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。

    如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] 如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] 如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。

    如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] 如果 category 日志字段值等于 Exfiltration: CloudSQL Data ExfiltrationExfiltration: BigQuery Data Extraction,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。
    resourceName
    exfiltration.targets.name
    		 target.resource.name 如果 category 日志字段值等于 Brute Force: SSH,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。

    否则,如果 category 日志字段值等于 Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IP,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE

    否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。

    否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。

    否则,resourceName 日志字段会映射到 target.resource.name UDM 字段。
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region 如果 sourceProperties.Header_Signature.name 日志字段值等于 RegionCode,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.location.country_or_region UDM 字段。
    sourceProperties.Header_Signature.significantValues.value principal.ip 如果 sourceProperties.Header_Signature.name 日志字段值等于 RemoteHost,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.ip UDM 字段。
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent 如果 sourceProperties.Header_Signature.name 日志字段值等于 UserAgent,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 network.http.user_agent UDM 字段。
    sourceProperties.Header_Signature.significantValues.value principal.url 如果 sourceProperties.Header_Signature.name 日志字段值等于 RequestUriPath,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.url UDM 字段。
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.compromised_account 日志字段会映射到 principal.user.userid UDM 字段,并且 principal.user.account_type UDM 字段会设置为 SERVICE_ACCOUNT_TYPE
    sourceProperties.project_identifier principal.resource.product_object_id 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.project_identifier 日志字段会映射到 principal.resource.product_object_id UDM 字段
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.private_key_identifier 日志字段会映射到 principal.user.attribute.labels.value UDM 字段
    sourceProperties.action_taken principal.labels.key/value [action_taken] 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.action_taken 日志字段会映射到 principal.labels.value UDM 字段
    sourceProperties.finding_type principal.labels.key/value [finding_type] 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.finding_type 日志字段会映射到 principal.labels.value UDM 字段
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.url 日志字段会映射到 principal.user.attribute.labels.value UDM 字段
    sourceProperties.security_result.summary security_result.summary 如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.security_result.summary 日志字段会映射到 security_result.summary UDM 字段
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]

    后续步骤