Coletar descobertas do Security Command Center
Neste documento, descrevemos como coletar registros do Security Command Center configurando o serviço e fazendo a ingestão das descobertas no Chronicle. Este documento também lista os eventos compatíveis.
Saiba mais em Ingestão de dados para o Chronicle e Como exportar as descobertas do Security Command Center para o Chronicle. Uma implantação típica consiste no Security Command Center e no feed do Chronicle configurado para enviar registros ao Chronicle. A implantação de cada cliente pode ser diferente e ser mais complexa.
A implantação contém os seguintes componentes:
Google Cloud: o sistema que será monitorado e em que o Security Command Center está instalado.
Descobertas de detecção de ameaças de eventos do Security Command Center: coleta informações da fonte de dados e gera descobertas.
Chronicle: retém e analisa os registros do Security Command Center.
Um rótulo de ingestão identifica o analisador que normaliza os dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador do Security Command Center com os seguintes rótulos de ingestão:
GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION
Configurar o Security Command Center e o Google Cloud para enviar as descobertas ao Chronicle
Verifique se todos os sistemas na implantação estão configurados no fuso horário UTC.
Ative a ingestão das descobertas do Security Command Center.
Descobertas compatíveis do Event Threat Detection
Esta seção lista as descobertas suportadas do Event Threat Detection. Para informações sobre as regras e descobertas de detecção de ameaças de eventos do Security Command Center, consulte Regras de detecção de ameaças de eventos.
Nome de descoberta | Descrição |
---|---|
Verificação ativa: Log4j vulnerável a RCE | Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciadas por verificadores de vulnerabilidades do Log4j com suporte. |
Força bruta: SSH | Detecção da força bruta do SSH em um host |
Acesso às credenciais: participante externo adicionado ao grupo privilegiado | Detecta quando um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). Uma descoberta só será gerada se o grupo ainda não tiver outros participantes externos da mesma organização que o participante recém-adicionado. Para saber mais, consulte Alterações não seguras no Grupo do Google. |
Acesso às credenciais: grupo privilegiado aberto para público | Detecta quando um Grupo do Google privilegiado (um grupo com funções ou permissões confidenciais) é alterado para ficar acessível ao público em geral. Para saber mais, consulte Alterações não seguras no Grupo do Google. |
Acesso às credenciais: papel confidencial concedido ao grupo híbrido | Detecta quando papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações não seguras no Grupo do Google. |
Evasão de defesa: modificar o VPC Service Control | Detecta uma alteração em um perímetro do VPC Service Controls existente que poderia reduzir a proteção oferecida por esse perímetro. |
Descoberta: pode receber checkPreview de objetos confidenciais do Kubernetes | Um agente malicioso tentou determinar quais objetos confidenciais do Google Kubernetes Engine (GKE) podem consultar usando o comando kubectl auth can-i get. |
Descoberta: autoinvestigação da conta de serviço | Detecção de uma credencial de conta de serviço do Identity and Access Management (IAM) usada para investigar os papéis e as permissões associados a essa mesma conta de serviço. |
Evasão: acesso de proxy de anonimização | Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP Tor. |
Exfiltração: exfiltração de dados do BigQuery | Detecta os seguintes cenários:
|
Exfiltração: extração de dados do BigQuery | Detecta os seguintes cenários:
|
Exfiltração: dados do BigQuery para o Google Drive | Detecta os seguintes cenários:
Por meio de operações de extração, um recurso do BigQuery que pertence à organização protegida é salvo em uma pasta do Google Drive. |
Exfiltração: exfiltração de dados do Cloud SQL | Detecta os seguintes cenários:
|
Exfiltração: backup de restauração do Cloud SQL para organização externa | Detecta quando o backup de uma instância do Cloud SQL é restaurado em uma instância fora da organização. |
Exfiltração: concessão privilegiada excessiva do Cloud SQL SQL | Detecta quando um usuário ou uma função do Cloud SQL Postgres recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema. |
Defesa por danos: autenticação forte desativada | A verificação em duas etapas foi desativada para a organização. |
Defesa de danos: verificação em duas etapas desativada | Um usuário desativou a verificação em duas etapas. |
Acesso inicial: conta desativada | A conta de um usuário foi suspensa devido a atividade suspeita. |
Acesso inicial: vazamento de senha desativado | A conta de um usuário foi desativada porque foi detectado um vazamento de senha. |
Acesso inicial: ataque baseado no governo | Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador. |
Acesso inicial: tentativa de comprometimento de Log4j | Detecta pesquisas em Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. Essas descobertas têm baixa gravidade, porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento. |
Acesso inicial: login suspeito bloqueado | Um login suspeito na conta de um usuário foi detectado e bloqueado. |
Malware Log4j: domínio inválido | Detecção de tráfego do Log4j com base em uma conexão ou busca de um domínio conhecido usado em ataques do Log4j. |
Malware Log4j: IP inválido | Detecção de tráfego do Log4j com base na conexão com um endereço IP conhecido usado em ataques do Log4j. |
Malware: domínio inválido | Detecção de malware com base em uma conexão ou na busca de um domínio malicioso conhecido. |
Malware: IP inválido | Detecção de malware com base na conexão com um endereço IP inválido conhecido. |
Malware: domínio criptografado de criptomineração | Detecção de mineração de criptomoedas com base em uma conexão ou pesquisa de um domínio de mineração de criptomoedas conhecido. |
Malware: criptomoedas com IP inválido | Detecção de mineração de criptomoedas com base em uma conexão com um endereço IP de mineração conhecido. |
DoS de saída | Detecção de tráfego de negação de serviço de saída |
Persistência: chave SSH adicionada pelo administrador do Compute Engine | Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
Persistência: script de inicialização adicionado pelo administrador do Compute Engine | Detecção de uma modificação no valor do script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
Persistência: concessão anômala de IAM | Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Esse detector usa as políticas do IAM de uma organização como contexto. Se uma concessão confidencial do IAM a um membro externo ocorrer e houver menos de três políticas do IAM parecidas, esse detector vai gerar uma descoberta. |
Persistência: novo MethodPreview da API | Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM. |
Persistência: nova região geográfica | Detecção de contas de serviço e usuários do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes. |
Persistência: novo user agent | Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos. |
Persistência: alternância de SSO | A configuração Ativar SSO (logon único) na conta de administrador foi desativada. |
Persistência: configurações de SSO alteradas | As configurações de SSO da conta de administrador foram alteradas. |
Escalação de privilégios: alterações em objetos RBAC confidenciais do KubernetesPreview | Para escalonar o privilégio, um usuário mal-intencionado tentou modificar os objetos ClusterRole e ClusterRoleBinding cluster-admin usando uma solicitação PUT ou PATCH. |
Escalação de privilégios: criar uma CSR do Kubernetes para o certPreview mestre | Um agente potencialmente mal-intencionado criou uma solicitação de assinatura de certificado mestre (CSR, na sigla em inglês) do Kubernetes, que concede acesso de administrador do cluster. |
Escalação de privilégios: criação de vinculações confidenciais do KubernetesPré-lançamento | Um agente malicioso tentou criar novos objetos RoleBinding ou ClusterRoleBinding cluster-admin para aumentar seu privilégio. |
Escalação de privilégios: receber a CSR do Kubernetes com credenciais de inicialização comprometidas | Um agente malicioso consultado por uma solicitação de assinatura de certificado (CSR, na sigla em inglês), com o comando kubectl, usando credenciais de inicialização comprometidas. |
Escalonamento de privilégios: lançamento de containerPreview privilegiados do Kubernetes | Um agente malicioso criou pods contendo contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.
Um contêiner privilegiado tem o campo "privileged" definido como "true". Um contêiner com recursos de escalonamento de privilégios tem o campo "allowPrivilegeEscalation" definido como "true". |
Acesso inicial: criação de chave em uma conta de serviço inativa | Detecta eventos em que uma chave é criada para uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se ficou inativa por mais de 180 dias. |
Árvore de processos | O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector verificará o processo pai. Se o processo pai for um binário que não deve gerar um processo shell, o detector acionará uma descoberta. |
Shell filho inesperado | O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector verificará o processo pai. Se o processo pai for um binário que não deve gerar um processo shell, o detector acionará uma descoberta. |
Execução: binário malicioso executado | O detector procura um binário sendo executado que não fazia parte da imagem original do contêiner e foi identificado como malicioso com base na inteligência de ameaças. |
Execução: binário malicioso modificado, executado | O detector procura um binário sendo executado que foi originalmente incluído na imagem do contêiner, mas modificado durante o tempo de execução, e foi identificado como malicioso com base na inteligência de ameaças. |
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador | Detecta quando uma solicitação delegada anômala de várias etapas é encontrada para uma atividade administrativa. |
Conta de implantação forçada usada: break_window_account | Detecta o uso de uma conta de acesso emergencial (implantação forçada) |
Domínio inválido configurável: APT29_Domains | Detecta uma conexão com um nome de domínio especificado |
Concessão de papel inesperada: papéis proibidos | Detecta quando um papel especificado é concedido a um usuário |
IP inválido configurável | Detecta uma conexão com um endereço IP especificado |
Tipo inesperado de instância do Compute Engine | Detecta a criação de instâncias do Compute Engine que não correspondem a um tipo especificado de instância ou configuração. |
Imagem de origem inesperada do Compute Engine | Detecta a criação de uma instância do Compute Engine com uma imagem ou família de imagens que não corresponde a uma lista especificada |
Região inesperada do Compute Engine | Detecta a criação de uma instância do Compute Engine em uma região que não está em uma lista especificada. |
Papel personalizado com permissão proibida | Detecta quando um papel personalizado com qualquer uma das permissões do IAM especificadas é concedido a um principal. |
Chamada de API do Cloud inesperada | Detecta quando um principal especificado chama um método determinado em relação a um recurso especificado. Uma descoberta é gerada somente se todas as expressões regulares forem correspondidas em uma única entrada de registro. |
Descobertas GCP_SECURITYCENTER_ERROR compatíveis
Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: ERRO.
Nome de descoberta | Descrição |
---|---|
VPC_SC_RESTRICTION | A Análise de integridade da segurança não pode produzir determinadas descobertas para um projeto. O projeto é protegido por um perímetro de serviço, e a conta de serviço do Security Command Center não tem acesso ao perímetro. |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | O projeto configurado para exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar descobertas para o Logging. |
API_DISABLED | Uma API necessária está desativada no projeto. O serviço desativado não pode enviar descobertas ao Security Command Center. |
KTD_IMAGE_PULL_FAILURE | O Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (download salva) do gcr.io, o host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection exigido pelo Container Threat Detection. |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão terceirizado está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection.
Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | O Container Threat Detection não pode gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE nesse cluster não tem permissões. Isso impede que o Container Threat Detection seja ativado no cluster. |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | A conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. |
Descobertas do GCP_SECURITYCENTER_OBSERVATION compatíveis
Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: OBSERVAÇÃO.
Nome de descoberta | Descrição |
---|---|
Persistência: chave SSH do projeto adicionada | Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias. |
Persistência: adicionar papel sensível | Um papel do IAM no nível da organização confidencial ou altamente privilegiado foi concedido em uma organização com mais de 10 dias. |
Descobertas GCP_SECURITYCENTER_UNSPECIFIED compatíveis
Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: UNSPECIFIED.
Nome de descoberta | Descrição |
---|---|
OPEN_FIREWALL | Um firewall está configurado para ser aberto ao acesso público. |
Descobertas do GCP_SECURITYCENTER_VULNERABILITY compatíveis
O mapeamento de UDM está disponível na tabela Referência de mapeamento de campo: VULNERABILITY.
Nome de descoberta | Descrição |
---|---|
DISK_CSEK_DISABLED | Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Detector de casos especiais. |
ALPHA_CLUSTER_ENABLED | Os recursos do cluster Alfa estão ativados para um cluster do GKE. |
AUTO_REPAIR_DISABLED | O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado. |
AUTO_UPGRADE_DISABLED | O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. |
CLUSTER_SHIELDED_NODES_DISABLED | Os nós protegidos do GKE não estão ativados para um cluster |
COS_NOT_USED | As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. |
INTEGRITY_MONITORING_DISABLED | O monitoramento de integridade está desativado para um cluster do GKE. |
IP_ALIAS_DISABLED | Um cluster do GKE foi criado com intervalos de IP de alias desativados. |
LEGACY_METADATA_ENABLED | Os metadados legados são ativados nos clusters do GKE. |
RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
DATAPROC_IMAGE_OUTDATED | Um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). |
PUBLIC_DATASET | Um conjunto de dados é configurado para ser aberto ao acesso público. |
DNSSEC_DISABLED | As DNSSEC estão desativadas nas zonas do Cloud DNS. |
RSASHA1_FOR_SIGNING | RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. |
REDIS_ROLE_USED_ON_ORG | Um papel do Redis IAM é atribuído no nível da organização ou da pasta. |
KMS_PUBLIC_KEY | Uma chave criptográfica do Cloud KMS é acessível publicamente. |
SQL_CONTAINED_DATABASE_AUTHENTICATION | A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag do banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_EXTERNAL_SCRIPTS_ENABLED | A flag do banco de dados ativada pelos scripts externos para uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_LOCAL_INFILE | A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada. |
SQL_LOG_ERROR_VERBOSITY | A flag do banco de dados log_error_verbosity de uma instância do Cloud SQL para PostgreSQL não está definida como padrão ou mais rigorosa. |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | A flag do banco de dados log_min_duration_statement de uma instância do Cloud SQL para PostgreSQL não está definida como "-1". |
SQL_LOG_MIN_ERROR_STATEMENT | A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado. |
SQL_LOG_MIN_MESSAGES | A flag do banco de dados log_min_messages para uma instância do Cloud SQL para PostgreSQL não está definida como aviso. |
SQL_LOG_EXECUTOR_STATS_ENABLED | A flag do banco de dados log_executor_status de uma instância do Cloud SQL para PostgreSQL não está desativada. |
SQL_LOG_HOSTNAME_ENABLED | A flag do banco de dados log_hostname para uma instância do Cloud SQL para PostgreSQL não está desativada. |
SQL_LOG_PARSER_STATS_ENABLED | A flag do banco de dados log_parser_stats de uma instância do Cloud SQL para PostgreSQL não está desativada. |
SQL_LOG_PLANNER_STATS_ENABLED | A flag do banco de dados log_planner_stats de uma instância do Cloud SQL para PostgreSQL não está desativada. |
SQL_LOG_STATEMENT_STATS_ENABLED | A flag do banco de dados log_statement_stats de uma instância do Cloud SQL para PostgreSQL não está desativada. |
SQL_LOG_TEMP_FILES | A flag do banco de dados log_temp_files de uma instância do Cloud SQL para PostgreSQL não está definida como "0". |
SQL_REMOTE_ACCESS_ENABLED | A flag do banco de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_SKIP_SHOW_DATABASE_DISABLED | A flag do banco de dados "skip_show_database" de uma instância do Cloud SQL para MySQL não está ativada. |
SQL_TRACE_FLAG_3625 | A flag do banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada. |
SQL_USER_CONNECTIONS_CONFIGURED | A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada. |
SQL_USER_OPTIONS_CONFIGURED | A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada. |
SQL_WEAK_ROOT_PASSWORD | Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
PUBLIC_LOG_BUCKET | buckets de armazenamento usados como coletor de registros podem ser acessados publicamente. |
ACCESSIBLE_GIT_REPOSITORY | Um repositório GIT é exposto publicamente. Para resolver essa descoberta, remova o acesso público não intencional ao repositório Git. |
ACCESSIBLE_SVN_REPOSITORY | Um repositório SVN é exposto publicamente. Para resolver a descoberta, remova o acesso público não intencional ao repositório SVN. |
CACHEABLE_PASSWORD_INPUT | As senhas inseridas no aplicativo da Web podem ser armazenadas em cache em um cache normal de navegador em vez de em um armazenamento de senhas seguro. |
CLEAR_TEXT_PASSWORD | As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver essa descoberta, criptografe a senha transmitida pela rede. |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio, adicione o ponto ao domínio raiz, por exemplo, .endsWith("".google.com""). |
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, verifique se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals("".google.com""). |
INVALID_CONTENT_TYPE | Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto. |
INVALID_HEADER | Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente. |
MISMATCHING_SECURITY_HEADER_VALUES | Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente. |
MISSPELLED_SECURITY_HEADER_NAME | Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente. |
MIXED_CONTENT | Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. |
OUTDATED_LIBRARY | Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. |
SERVER_SIDE_REQUEST_FORGERY | Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP que podem receber solicitações do aplicativo da Web. |
SESSION_ID_LEAK | Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de destino acesso ao identificador de sessão, que pode ser usado para falsificar a identidade ou identificar o usuário de maneira exclusiva. |
SQL_INJECTION | Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL. |
STRUTS_INSECURE_DESERIALIZATION | O uso de uma versão vulnerável do Apache Struts foi detectado. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. |
XSS | Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário. |
XSS_ANGULAR_CALLBACK | Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário processados pela biblioteca Angular. |
XSS_ERROR | Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário. |
XXE_REFLECTED_FILE_LEAKAGE | Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Essa vulnerabilidade pode fazer com que o aplicativo da Web vaze um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas. |
BASIC_AUTHENTICATION_ENABLED | O IAM ou a autenticação de certificado do cliente precisa estar ativada nos clusters do Kubernetes. |
CLIENT_CERT_AUTHENTICATION_DISABLED | Os clusters do Kubernetes precisam ser criados com o certificado do cliente ativado. |
LABELS_NOT_USED | Rótulos podem ser usados para decompor informações de faturamento |
PUBLIC_STORAGE_OBJECT | A ACL do objeto de armazenamento não deve conceder acesso a allUsers. |
SQL_BROAD_ROOT_LOGIN | O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados |
WEAK_CREDENTIALS | Esse detector verifica se há credenciais fracas usando métodos de força bruta ncrack.
Serviços compatíveis: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM |
ELASTICSEARCH_API_EXPOSED | A API Elasticsearch permite que os autores das chamadas executem consultas arbitrárias, gravem e executem scripts e adicionem outros documentos ao serviço. |
EXPOSED_GRAFANA_ENDPOINT | No Grafana 8.0.0 a 8.3.0, sem autenticação, os usuários podem acessar um endpoint com uma vulnerabilidade de travessia de diretórios que permite que qualquer usuário leia qualquer arquivo do servidor sem autenticação. Para mais informações, consulte CVE-2021-43798 (em inglês). |
EXPOSED_METABASE | As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade na compatibilidade com mapas GeoJSON personalizados e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277 (em inglês). |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | Esse detector verifica se os endpoints confidenciais do Actuator dos aplicativos Spring Boot estão expostos. Alguns dos endpoints padrão, como /heapdump, podem expor informações sensíveis. Outros endpoints, como /env, podem levar à execução remota de código. No momento, apenas a opção /heapdump é marcada. |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado. |
JAVA_JMX_RMI_EXPOSED | A Java Management Extension (JMX) permite monitoramento e diagnóstico remotos para aplicativos Java. A execução do JMX com o endpoint de invocação de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e o use para criar novos MBeans a partir de URLs arbitrários. |
JUPYTER_NOTEBOOK_EXPOSED_UI | Esse detector verifica se um Notebook do Jupyter não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Notebook do Jupyter não autenticado coloca a VM de hospedagem em risco de execução remota do código. |
KUBERNETES_API_EXPOSED | A API Kubernetes está exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes. |
UNFINISHED_WORDPRESS_INSTALLATION | Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação inacabada do WordPress expõe a página /wp-admin/install.php, que permite que o invasor defina a senha do administrador e, possivelmente, comprometa o sistema. |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | Este detector verifica se há uma instância não autenticada do Jenkins enviando um ping de sondagem para o endpoint /view/all/newJob como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário createItem, que permite a criação de jobs arbitrários que podem levar à execução remota do código. |
APACHE_HTTPD_RCE | Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminhos para mapear URLs para arquivos fora da raiz do documento esperado e ver a origem dos arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: |
APACHE_HTTPD_SSRF | Os invasores podem criar um URI para o servidor da Web Apache que faz com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: |
CONSUL_RCE | Os atacantes podem executar código arbitrário em um servidor do Consul porque a instância do Consul é configurada com -enable-script-checks definido como true e a API do Consul HTTP não é segura e pode ser acessada pela rede. No Consul 0.9.0 e anteriores, as verificações de script estão ativadas por padrão. Para mais informações, acesse Como proteger o Consul contra o risco do RCE em configurações específicas (em inglês). Para verificar essa vulnerabilidade, a detecção rápida de vulnerabilidades registra um serviço na instância do Consul usando o endpoint REST /v1/health/service, que executa uma das seguintes ações: * Um comando curl para um servidor remoto fora da rede. Um invasor pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. A detecção rápida de vulnerabilidades verifica a saída do comando usando o endpoint REST /v1/health/service. * Após a verificação, a detecção rápida de vulnerabilidades limpa e cancela o registro do serviço usando o endpoint REST /v1/agent/service/deregister/. |
DRUID_RCE | O Apache Druid inclui a capacidade de executar o código JavaScript fornecido pelo usuário incorporado em vários tipos de solicitações. Essa funcionalidade é destinada ao uso em ambientes de alta confiança e está desativada por padrão. No entanto, no Druid 0.20.0 e em versões anteriores, é possível que um usuário autenticado envie uma solicitação especialmente elaborada que força o Druid a executar o código JavaScript fornecido pelo usuário para essa solicitação, independentemente da configuração do servidor. Ela pode ser aproveitada para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhes do CVE-2021-25646. |
DRUPAL_RCE | As versões do Drupal anteriores à 7.58, 8.x antes da 8.3.9, 8.4.x antes da 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota do código nas solicitações AJAX da API Form. As versões 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota do código quando o módulo do RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada. |
FLINK_FILE_DISCLOSURE | Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST do processo do JobManager. O acesso é restrito aos arquivos que podem ser acessados pelo processo do JobManager. |
GITLAB_RCE | Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos. |
GoCD_RCE | No GoCD 21.2.0 e em versões anteriores, há um endpoint que pode ser acessado sem autenticação. Este endpoint tem uma vulnerabilidade de travessia de diretórios que permite que um usuário leia qualquer arquivo no servidor sem autenticação. |
JENKINS_RCE | As versões 2.56 e anteriores do Jenkins e o 2.46.1 LTS e anteriores são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java serializado e malicioso. |
JOOMLA_RCE | As versões 1.5.x, 2.x e 3.x do Joomla anteriores à 3.4.6 são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho criado contendo objetos PHP serializados. As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado. |
LOG4J_RCE | No Apache Log4j2 2.14.1 e em versões anteriores, os recursos JNDI usados em configurações, mensagens de registro e parâmetros não protegem contra o LDAP controlado por invasores e outros endpoints relacionados a JNDI. Para mais informações, consulte CVE-2021-44228 (em inglês). |
MANTISBT_PRIVILEGE_ESCALATION | O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado, fornecendo um valor de confirm_hash vazio para o Verify.php. |
OGNL_RCE | As instâncias do Confluence Server e do Data Center têm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute um código arbitrário. Para mais informações, consulte CVE-2021-26084 (em inglês). |
OPENAM_RCE | Os servidores OpenAM 14.6.2 e anteriores e ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não requer autenticação, e a execução remota do código pode ser acionada com o envio de uma única solicitação /ccversion/* criada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464 (em inglês). |
ORACLE_WEBLOGIC_RCE | Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade facilmente explorável permite que um invasor não autenticado com acesso à rede via HTTP comprometa um servidor Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882 (em inglês). |
PHPUNIT_RCE | As versões de PHPUnit anteriores à versão 5.6.3 permitem a execução remota de código com uma única solicitação POST não autenticada. |
PHP_CGI_RCE | As versões do PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota do código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere = (sinal de igual). Isso permite que os invasores adicionem opções de linha de comando que são executadas no servidor. |
PORTAL_RCE | A desserialização de dados não confiáveis em versões do Liferay Portal anteriores à 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por serviços da Web JSON. |
REDIS_RCE | Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores poderão executar um código arbitrário. |
SOLR_FILE_EXPOSED | A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode criar diretamente uma solicitação para ativar uma configuração específica e, em algum momento, implementar uma falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) ou ler arquivos arbitrários. |
SOLR_RCE | As versões 5.0.0 do Apache Solr a 8.3.1 do Apache Solr são vulneráveis à execução remota de código por meio de VelocityResponseWriter se params.resource.loader.enabled for definido como "true". Isso permite que os atacantes criem um parâmetro que contém um modelo Velocity malicioso. |
STRUTS_RCE |
|
TOMCAT_FILE_DISCLOSURE | As versões 9.x do Apache Tomcat anteriores à 9.0.31, 8.x antes da 8.5.51, 7.x antes da 7.0.100 e todas as 6.x são vulneráveis ao código-fonte e à divulgação da configuração por meio de um conector do protocolo Apache JServ exposto. Em alguns casos, isso é aproveitado para executar a execução remota de código se o upload de arquivos for permitido. |
VBULLETIN_RCE | Os servidores vBulletin com as versões 5.0.0 a 5.5.4 são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação de routestring. |
VCENTER_RCE | As versões 7.x do VMware vCenter Server 7.x anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l e 6.5 anteriores a 6.5 U3n são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser acionada quando um invasor faz upload de um arquivo criado com páginas do servidor Java para um diretório acessível pela Web e aciona a execução desse arquivo. |
WEBLOGIC_RCE | Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade de execução remota de código, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada às CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Para mais informações, consulte CVE-2020-14883 (em inglês). |
OS_VULNERABILITY | O VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. |
UNUSED_IAM_ROLE | O recomendador do IAM detectou uma conta de usuário com um papel do IAM que não foi usado nos últimos 90 dias. |
Descobertas do GCP_SECURITYCENTER_MISCONFIGURATION compatíveis
Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: MISCONFIGURATION.
Nome de descoberta | Descrição |
---|---|
API_KEY_APIS_UNRESTRICTED | Há chaves de API muito usadas. Para resolver esse problema, limite o uso da chave de API para permitir apenas as APIs necessárias para o aplicativo. |
API_KEY_APPS_UNRESTRICTED | As chaves de API estão sendo usadas de maneira irrestrita, o que permite o uso por apps não confiáveis |
API_KEY_EXISTS | Um projeto está usando chaves de API em vez da autenticação padrão. |
API_KEY_NOT_ROTATED | A chave de API não é alternada há mais de 90 dias |
PUBLIC_COMPUTE_IMAGE | Uma imagem do Compute Engine é acessível publicamente. |
CONFIDENTIAL_COMPUTING_DISABLED | A Computação confidencial está desativada em uma instância do Compute Engine. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto. |
COMPUTE_SECURE_BOOT_DISABLED | Esta VM protegida não tem a Inicialização segura ativada. O uso da Inicialização segura ajuda a proteger as instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. |
DEFAULT_SERVICE_ACCOUNT_USED | Uma instância é configurada para usar a conta de serviço padrão. |
FULL_API_ACCESS | Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. |
OS_LOGIN_DISABLED | O Login do SO está desativado nesta instância. |
PUBLIC_IP_ADDRESS | Uma instância tem um endereço IP público. |
SHIELDED_VM_DISABLED | A VM protegida está desativada nesta instância. |
COMPUTE_SERIAL_PORTS_ENABLED | As portas seriais são ativadas em uma instância, permitindo conexões com o console serial dela. |
DISK_CMEK_DISABLED | Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
HTTP_LOAD_BALANCER | Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. |
IP_FORWARDING_ENABLED | o encaminhamento de IP é ativado nas instâncias. |
WEAK_SSL_POLICY | Uma instância tem uma política de SSL fraca. |
BINARY_AUTHORIZATION_DISABLED | A autorização binária está desativada em um cluster do GKE. |
CLUSTER_LOGGING_DISABLED | A geração de registros não está ativada para um cluster do GKE. |
CLUSTER_MONITORING_DISABLED | O monitoramento está desativado nos clusters do GKE. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | A criptografia de secrets na camada de aplicativos está desativada em um cluster do GKE. |
INTRANODE_VISIBILITY_DISABLED | A visibilidade intranós é desativada para um cluster do GKE. |
MASTER_AUTHORIZED_NETWORKS_DISABLED | As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. |
NETWORK_POLICY_DISABLED | A política de rede está desativada nos clusters do GKE. |
NODEPOOL_SECURE_BOOT_DISABLED | A Inicialização segura está desativada para um cluster do GKE. |
OVER_PRIVILEGED_ACCOUNT | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. |
OVER_PRIVILEGED_SCOPES | Uma conta de serviço do nó tem escopos de acesso amplos. |
POD_SECURITY_POLICY_DISABLED | O PodSecurityPolicy está desativado em um cluster do GKE. |
PRIVATE_CLUSTER_DISABLED | Um cluster do GKE tem um cluster particular desativado. |
WORKLOAD_IDENTITY_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
LEGACY_AUTHORIZATION_ENABLED | A autorização legada está ativada em clusters do GKE. |
NODEPOOL_BOOT_CMEK_DISABLED | Os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
WEB_UI_ENABLED | A IU da Web do GKE (painel) está ativada. |
AUTO_REPAIR_DISABLED | O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado. |
AUTO_UPGRADE_DISABLED | O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. |
CLUSTER_SHIELDED_NODES_DISABLED | Os nós protegidos do GKE não estão ativados para um cluster |
RELEASE_CHANNEL_DISABLED | Um cluster do GKE não está inscrito em um canal de lançamento. |
BIGQUERY_TABLE_CMEK_DISABLED | Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. |
DATASET_CMEK_DISABLED | Um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar. |
EGRESS_DENY_RULE_NOT_SET | Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. |
FIREWALL_RULE_LOGGING_DISABLED | A geração de registros de regras de firewall está desativada. A geração de registros de regras de firewall deve estar ativada para que seja possível auditar o acesso à rede. |
OPEN_CASSANDRA_PORT | Um firewall está configurado para ter uma porta aberta do Cassandra que permite acesso genérico. |
OPEN_SMTP_PORT | Um firewall está configurado para ter uma porta SMTP aberta que permite acesso genérico. |
OPEN_REDIS_PORT | Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. |
OPEN_POSTGRESQL_PORT | Um firewall está configurado para ter uma porta PostgreSQL aberta que permite acesso genérico. |
OPEN_POP3_PORT | Um firewall está configurado para ter uma porta POP3 aberta que permite o acesso genérico. |
OPEN_ORACLEDB_PORT | Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico. |
OPEN_NETBIOS_PORT | Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico. |
OPEN_MYSQL_PORT | Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico. |
OPEN_MONGODB_PORT | Um firewall está configurado para ter uma porta MONGODB aberta que permite acesso genérico. |
OPEN_MEMCACHED_PORT | Um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. |
OPEN_LDAP_PORT | Um firewall está configurado para ter uma porta LDAP aberta que permite o acesso genérico. |
OPEN_FTP_PORT | Um firewall está configurado para ter uma porta de FTP aberta que permite acesso genérico. |
OPEN_ELASTICSEARCH_PORT | Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permite acesso genérico. |
OPEN_DNS_PORT | Um firewall está configurado para ter uma porta DNS aberta que permite o acesso genérico. |
OPEN_HTTP_PORT | Um firewall está configurado para ter uma porta HTTP aberta que permite o acesso genérico. |
OPEN_DIRECTORY_SERVICES_PORT | Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. |
OPEN_CISCOSECURE_WEBSM_PORT | Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico. |
OPEN_RDP_PORT | Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico. |
OPEN_TELNET_PORT | Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico. |
OPEN_FIREWALL | Um firewall está configurado para ser aberto ao acesso público. |
OPEN_SSH_PORT | Um firewall está configurado para ter uma porta SSH aberta que permite o acesso genérico. |
SERVICE_ACCOUNT_ROLE_SEPARATION | Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio da "separação de deveres". |
NON_ORG_IAM_MEMBER | Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, no momento, apenas as identidades com endereços de e-mail @gmail.com acionam esse detector. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, e não para uma conta de serviço específica. |
ADMIN_SERVICE_ACCOUNT | Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | Uma chave de conta de serviço não é alternada há mais de 90 dias. |
USER_MANAGED_SERVICE_ACCOUNT_KEY | Um usuário gerencia uma chave de conta de serviço. |
PRIMITIVE_ROLES_USED | Um usuário tem o papel básico: Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não devem ser usados. |
KMS_ROLE_SEPARATION | A separação de deveres não é aplicada, e há um usuário com qualquer um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: criptografador/descriptografador de CryptoKey, criptografador ou descriptografador. |
OPEN_GROUP_IAM_MEMBER | Uma conta dos Grupos do Google que pode ser associada sem aprovação é usada como um principal da política de permissão do IAM. |
KMS_KEY_NOT_ROTATED | A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser rotacionadas dentro de um período de 90 dias. |
KMS_PROJECT_HAS_OWNER | Um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas. |
TOO_MANY_KMS_USERS | Há mais de três usuários de chaves criptográficas. |
OBJECT_VERSIONING_DISABLED | O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. |
LOCKED_RETENTION_POLICY_NOT_SET | Uma política de retenção bloqueada não está definida para os registros. |
BUCKET_LOGGING_DISABLED | Há um bucket de armazenamento sem a geração de registros ativada. |
LOG_NOT_EXPORTED | Há um recurso que não tem um coletor de registros apropriado configurado. |
AUDIT_LOGGING_DISABLED | A geração de registros de auditoria foi desativada para este recurso. |
MFA_NOT_ENFORCED | Há usuários que não estão usando a verificação em duas etapas. |
ROUTE_NOT_MONITORED | As métricas de registro e os alertas não estão configurados para monitorar alterações na rota da rede VPC. |
OWNER_NOT_MONITORED | Os alertas e as métricas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. |
AUDIT_CONFIG_NOT_MONITORED | As métricas de registro e os alertas não são configurados para monitorar alterações na configuração de auditoria. |
BUCKET_IAM_NOT_MONITORED | As métricas de registro e os alertas não são configurados para monitorar alterações de permissão do IAM no Cloud Storage. |
CUSTOM_ROLE_NOT_MONITORED | As métricas de registro e os alertas não estão configurados para monitorar alterações no papel personalizado. |
FIREWALL_NOT_MONITORED | As métricas de registro e os alertas não estão configurados para monitorar as alterações nas regras do firewall de rede da nuvem privada virtual (VPC). |
NETWORK_NOT_MONITORED | As métricas de registro e os alertas não estão configurados para monitorar alterações na rede VPC. |
SQL_INSTANCE_NOT_MONITORED | As métricas de registro e os alertas não são configurados para monitorar alterações na configuração da instância do Cloud SQL. |
DEFAULT_NETWORK | A rede padrão existe em um projeto. |
DNS_LOGGING_DISABLED | A geração de registros de DNS em uma rede VPC não está ativada. |
PUBSUB_CMEK_DISABLED | Um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
PUBLIC_SQL_INSTANCE | Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. |
SSL_NOT_ENFORCED | Uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem SSL. |
AUTO_BACKUP_DISABLED | Um banco de dados do Cloud SQL não tem backups automáticos ativados. |
SQL_CMEK_DISABLED | Uma instância de banco de dados SQL não é criptografada com chaves gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
SQL_LOG_CHECKPOINTS_DISABLED | A flag do banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
SQL_LOG_CONNECTIONS_DISABLED | A flag do banco de dados log_connections de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
SQL_LOG_DISCONNECTIONS_DISABLED | A flag do banco de dados log_disconnections de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
SQL_LOG_DURATION_DISABLED | A flag do banco de dados log_duration de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
SQL_LOG_LOCK_WAITS_DISABLED | A flag do banco de dados log_lock_waits de uma instância do Cloud SQL para PostgreSQL não está definida como ativada. |
SQL_LOG_STATEMENT | A flag do banco de dados "log_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como "Ddl" (todas as instruções de definição de dados). |
SQL_NO_ROOT_PASSWORD | Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
SQL_PUBLIC_IP | Um banco de dados do Cloud SQL tem um endereço IP público. |
SQL_CONTAINED_DATABASE_AUTHENTICATION | A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_CROSS_DB_OWNERSHIP_CHAINING | A flag do banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_LOCAL_INFILE | A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada. |
SQL_LOG_MIN_ERROR_STATEMENT | A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado. |
SQL_LOG_TEMP_FILES | A flag do banco de dados log_temp_files de uma instância do Cloud SQL para PostgreSQL não está definida como "0". |
SQL_REMOTE_ACCESS_ENABLED | A flag do banco de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está desativada. |
SQL_SKIP_SHOW_DATABASE_DISABLED | A flag do banco de dados "skip_show_database" de uma instância do Cloud SQL para MySQL não está ativada. |
SQL_TRACE_FLAG_3625 | A flag do banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada. |
SQL_USER_CONNECTIONS_CONFIGURED | A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada. |
SQL_USER_OPTIONS_CONFIGURED | A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada. |
PUBLIC_BUCKET_ACL | bucket do Cloud Storage são acessíveis publicamente. |
BUCKET_POLICY_ONLY_DISABLED | O acesso uniforme no nível do bucket, antes chamado de "Somente a política de bucket", não está configurado. |
BUCKET_CMEK_DISABLED | Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores. |
FLOW_LOGS_DISABLED | Há uma sub-rede VPC com registros de fluxo desativados. |
PRIVATE_GOOGLE_ACCESS_DISABLED | Há sub-redes particulares sem acesso às APIs públicas do Google. |
kms_key_region_europe | Devido à política da empresa, todas as chaves de criptografia devem permanecer armazenadas na Europa. |
kms_non_euro_region | Devido à política da empresa, todas as chaves de criptografia devem permanecer armazenadas na Europa. |
LEGACY_NETWORK | Existe uma rede legada em um projeto. |
LOAD_BALANCER_LOGGING_DISABLED | A geração de registros está desativada para o balanceador de carga. |
Descobertas GCP_SECURITYCENTER_POSTURE_VIOLATION compatíveis
Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: VIOLAÇÃO DE POSTURA.
Nome de descoberta | Descrição |
---|---|
SECURITY_POSTURE_DRIFT | Desviar das políticas definidas dentro da postura de segurança. Isso é detectado pelo serviço de postura de segurança. |
SECURITY_POSTURE_POLICY_DRIFT | O serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura. |
SECURITY_POSTURE_POLICY_DELETE | O serviço de postura de segurança detectou que uma política da organização foi excluída. Esta exclusão ocorreu fora de uma atualização de postura. |
SECURITY_POSTURE_DETECTOR_DRIFT | O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. |
SECURITY_POSTURE_DETECTOR_DELETE | O serviço de postura de segurança detectou que um módulo personalizado da Análise de integridade da segurança foi excluído. Esta exclusão ocorreu fora de uma atualização de postura. |
Referência de mapeamento de campo
Nesta seção, explicamos como o analisador do Chronicle mapeia os campos de registro do Security Command Center para os campos do Chronicle Unified Data Model (UDM) dos conjuntos de dados.
Referência de mapeamento de campo: campos de registro brutos para campos de UDM
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as descobertas do Event Threat Detection do Security Command Center.
Campo RawLog | Mapeamento de UDM | Lógica |
---|---|---|
compliances.ids |
about.labels.key/value [compliance_ids] |
|
compliances.version |
about.labels.key/value [compliance_version] |
|
compliances.standard |
about.labels.key/value [compliances_standard] |
|
connections.destinationIp |
about.labels[connections_destination_ip] |
Se o valor do campo de registro connections.destinationIp não for igual a sourceProperties.properties.ipConnection.destIp , o campo de registro connections.destinationIp será mapeado para o campo de UDM about.labels.value . |
connections.destinationPort |
about.labels[connections_destination_port] |
|
connections.protocol |
about.labels[connections_protocol] |
|
connections.sourceIp |
about.labels[connections_source_ip] |
|
connections.sourcePort |
about.labels[connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
Se o valor do campo de registro message corresponder ao regex kubernetes , o campo UDM target.resource_ancestors.resource_type será definido como CLUSTER. |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment UDM está definido como GOOGLE_CLOUD_PLATFORM . |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle , o campo UDM extension.auth.type será definido como SSO . |
|
extension.mechanism |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo UDM extension.mechanism será definido como USERNAME_PASSWORD . |
|
extensions.auth.type |
Se o valor do campo de registro principal.user.user_authentication_status for igual a ACTIVE , o campo UDM extensions.auth.type será definido como SSO . |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt , o campo de registro sourceProperties.properties.loadBalancerName será mapeado para o campo de UDM intermediary.resource.name . |
|
intermediary.resource.resource_type |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt , o campo UDM intermediary.resource.resource_type será definido como BACKEND_SERVICE . |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo de registro canonicalName .Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo de UDM metadata.product_log_id .metadata.product_log_id |
|
metadata.product_name |
O campo metadata.product_name UDM está definido como Security Command Center . |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
O campo metadata.vendor_name UDM está definido como Google . |
|
network.application_protocol |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo network.application_protocol UDM será definido como DNS . |
sourceProperties.properties.indicatorContext.asn |
network.asn |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP , o campo de registro sourceProperties.properties.indicatorContext.asn será mapeado para o campo de UDM network.asn . |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP , o campo de registro sourceProperties.properties.indicatorContext.carrierName será mapeado para o campo de UDM network.carrier_name . |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain será mapeado para o campo de UDM network.dns_domain . |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
Se o valor do campo de registro category for igual a Malware: Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass será mapeado para o campo de UDM network.dns.answers.class . |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
Se o valor do campo de registro category corresponder ao regex Malware: Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue será mapeado para o campo UDM network.dns.answers.data . |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseData.domainName será mapeado para o campo de UDM network.dns.answers.name . |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
Se o valor do campo de registro category for igual a Malware: Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseData.ttl será mapeado para o campo de UDM network.dns.answers.ttl . |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
Se o valor do campo de registro category for igual a Malware: Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseData.responseType será mapeado para o campo de UDM network.dns.answers.type . |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.authAnswer será mapeado para o campo de UDM network.dns.authoritative . |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.queryName será mapeado para o campo de UDM network.dns.questions.name . |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.queryType será mapeado para o campo de UDM network.dns.questions.type . |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.responseCode será mapeado para o campo de UDM network.dns.response_code . |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Persistence: New User Agent , o campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent será mapeado para o campo de UDM network.http.user_agent . |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script , o campo de registro sourceProperties.properties.callerUserAgent será mapeado para o campo de UDM network.http.user_agent . |
access.userAgentFamily |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation , o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent será mapeado para o campo de UDM network.http.user_agent . |
sourceProperties.properties.ipConnection.protocol | network.ip_protocol | Se o valor do campo de registro category for igual a Malware: Bad IP , Malware: Cryptomining Bad IP ou Malware: Outgoing DoS , o campo network.ip_protocol UDM será definido como um destes valores:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.indicatorContext.organizationName será mapeado para o campo de UDM network.organization_name . |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
Se o valor do campo de registro category for igual a Persistence: New User Agent , o campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod será mapeado para o campo de UDM network.session_duration . |
sourceProperties.properties.sourceIp |
principal.ip |
Se o valor do campo de registro category corresponder ao regex Active Scan: Log4j Vulnerable to RCE , o campo de registro sourceProperties.properties.sourceIp será mapeado para o campo UDM principal.ip . |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo de UDM principal.ip . |
access.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , access.callerIp , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Persistence: New Geography ou Persistence: IAM Anomalous Grant , o campo de registro access.callerIp será mapeado para o campo principal.ip UDM. |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation , o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp será mapeado para o campo de UDM principal.ip . |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy , o campo de registro sourceProperties.properties.changeFromBadIp.ip será mapeado para o campo de UDM principal.ip . |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain , o campo de registro sourceProperties.properties.dnsContexts.sourceIp será mapeado para o campo de UDM principal.ip . |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Bad IP , Malware: Cryptomining Bad IP ou Malware: Outgoing DoS , o campo de registro sourceProperties.properties.ipConnection.srcIp será mapeado para o campo UDM principal.ip . |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , se o valor do campo de registro sourceProperties.properties.ipConnection.srcIp não for igual a sourceProperties.properties.indicatorContext.ipAddress , o campo de registro sourceProperties.properties.indicatorContext.ipAddress será mapeado para o campo principal.ip de UDM. |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
Se o valor do campo de registro category for igual a Persistence: New Geography , o campo de registro sourceProperties.properties.anomalousLocation.callerIp será mapeado para o campo de UDM principal.ip . |
sourceProperties.properties.scannerDomain |
principal.labels.key/value [sourceProperties_properties_scannerDomain] |
Se o valor do campo de registro category corresponder ao regex Active Scan: Log4j Vulnerable to RCE , o campo de registro sourceProperties.properties.scannerDomain será mapeado para o campo UDM principal.labels.key/value . |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState será mapeado para o campo de UDM principal.labels.key/value . |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.indicatorContext.countryCode será mapeado para o campo de UDM principal.location.country_or_region . |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location será mapeado para o campo de UDM principal.location.country_or_region . |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.job.location será mapeado para o campo de UDM principal.location.country_or_region . |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
Se o valor do campo de registro category for igual a Persistence: New Geography ou Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier será mapeado para o campo de UDM principal.location.country_or_region . |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation será mapeado para o campo de UDM principal.location.name . |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS , o campo de registro sourceProperties.properties.ipConnection.srcPort será mapeado para o campo de UDM principal.port . |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo de UDM principal.process.file.full_path . |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink será mapeado para o campo de UDM principal.process.file.full_path . |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId será mapeado para o campo de UDM principal.process.pid . |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.job.jobId será mapeado para o campo de UDM principal.process.pid . |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.srcVpc.subnetworkName será mapeado para o campo de UDM principal.resource_ancestors.attribute.labels.value . |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.srcVpc.projectId será mapeado para o campo de UDM principal.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo de UDM principal.resource_ancestors.name e o campo principal.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registro message corresponder ao regex sourceProperties.sourceId.*?customerOrganizationNumber , o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM principal.resource.attribute.labels.key/value . |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
Se o valor do campo de registro sourceProperties.properties.projectId não estiver vazio, o campo de registro sourceProperties.properties.projectId será mapeado para o campo de UDM principal.resource.name . |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation , o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId será mapeado para o campo de UDM principal.resource.name . |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
Se o valor do campo de registro category for igual a Malware: Outgoing DoS , o campo de registro sourceProperties.properties.sourceInstanceDetails será mapeado para o campo de UDM principal.resource.name . |
|
principal.user.account_type |
Se o valor do campo de registro access.principalSubject corresponder ao regex serviceAccount , o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE .Caso contrário, se o valor do campo de registro access.principalSubject corresponder à regex user , o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE . |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation , o campo UDM principal.user.attribute.labels.key será definido como rawUserAgent e o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent será mapeado para o campo UDM principal.user.attribute.labels.value . |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation , o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy , o campo de registro sourceProperties.properties.changeFromBadIp.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Impair Defenses: Strong Authentication Disabled , Impair Defenses: Two Step Verification Disabled ou Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo de UDM principal.user.email_addresses .Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked , o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
access.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography , o campo de registro access.principalEmail será mapeado para o campo UDM principal.user.email_addresses . |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: New User Agent , o campo de registro sourceProperties.properties.anomalousSoftware.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization , o campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Persistence: New Geography , o campo de registro sourceProperties.properties.anomalousLocation.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group , o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public , o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group , o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.vpcViolation.userEmail será mapeado para o campo de UDM principal.user.email_addresses . |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked ou Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle , o campo de registro sourceProperties.properties.ssoState será mapeado para o campo UDM principal.user.user_authentication_status . |
database.userName |
principal.user.userid |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo de registro database.userName será mapeado para o campo de UDM principal.user.userid . |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.threatIntelligenceSource será mapeado para o campo de UDM security_result.about.application . |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo de UDM security_result.about.ip . |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo de UDM security_result.about.resource.name .Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo UDM security_result.about.resource.name , e o campo security_result.about.resource_type UDM será definido como CLOUD_PROJECT . |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.delta.allowedServices.serviceName será mapeado para o campo de UDM security_result.about.resource.name e o campo security_result.about.resource_type será definido como BACKEND_SERVICE . |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.delta.restrictedServices.serviceName será mapeado para o campo de UDM security_result.about.resource.name e o campo security_result.about.resource_type será definido como BACKEND_SERVICE . |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.delta.accessLevels.policyName será mapeado para o campo de UDM security_result.about.resource.name e o campo security_result.about.resource_type será definido como ACCESS_POLICY . |
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registro message corresponder ao regex contacts.?security , o campo UDM security_result.about.user.attribute.roles.name será definido como security .Se o valor do campo de registro message corresponder ao regex contacts.?technical , o campo UDM security_result.about.user.attribute.roles.name será definido como Technical . |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked , o campo UDM security_result.action será definido como BLOCK .Se o valor do campo de registro category for igual a Brute Force: SSH , se o valor do campo de registro sourceProperties.properties.attempts.authResult for igual a SUCCESS , o campo UDM security_result.action será definido como BLOCK .Além disso, o campo UDM security_result.action será definido como BLOCK . |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro sourceProperties.properties.delta.restrictedResources.action será mapeado para o campo de UDM security_result.action_details . |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro sourceProperties.properties.delta.restrictedServices.action será mapeado para o campo de UDM security_result.action_details . |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro sourceProperties.properties.delta.allowedServices.action será mapeado para o campo de UDM security_result.action_details . |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro sourceProperties.properties.delta.accessLevels.action será mapeado para o campo de UDM security_result.action_details . |
|
security_result.alert_state |
Se o valor do campo de registro state for igual a ACTIVE , o campo UDM security_result.alert_state será definido como ALERTING .Além disso, o campo UDM security_result.alert_state será definido como NOT_ALERTING . |
findingClass |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
category |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED , o campo de registro muteInitiator será mapeado para o campo de UDM security_result.detection_fields.value . |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED , o campo de registro muteUpdateTimer será mapeado para o campo de UDM security_result.detection_fields.value . |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
Se o valor do campo de registro category for igual a Persistence: New User Agent , o campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.attempts.authResult será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes será mapeado para o campo de UDM security_result.detection_fields.value . |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Over-Privileged Grant , Exfiltration: CloudSQL Restore Backup to External Organization , Initial Access: Log4j Compromise Attempt , Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant , o campo de UDM security_result.detection_fields.key será definido como sourceProperties_contextUris_relatedFindingUri_url e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo de UDM metadata.url_back_to_product . |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP , o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo UDM security_result.detection_fields.key , e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo UDM security_result.detection_fields.value . |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed , o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo security_result.detection_fields.key/value do UDM. |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name será mapeado para o campo de UDM intermediary.labels.key . |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.tags.description será mapeado para o campo de UDM intermediary.labels.value . |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
Se o valor do campo de registro category for igual a Malware: Bad IP , o campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal será mapeado para o campo de UDM security_result.detection_fields.value . |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH , o campo UDM security_result.priority será definido como HIGH_PRIORITY .Além disso, se o valor do campo de registro sourceProperties.detectionPriority for igual a MEDIUM , o campo UDM security_result.priority será definido como MEDIUM_PRIORITY .Além disso, se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW , o campo UDM security_result.priority será definido como LOW_PRIORITY . |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Exfiltration , o campo de registro sourceProperties.properties.vpcViolation.violationReason será mapeado para o campo de UDM security_result.summary . |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo de registro database.query será mapeado para o campo de UDM src.process.command_line . |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.parentDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.parentName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.projectDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value . |
parent |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro parent será mapeado para o campo UDM src.resource_ancestors.name . |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId será mapeado para o campo de UDM src.resource_ancestors.name e o campo src.resource_ancestors.resource_type será definido como TABLE . |
resourceName |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization , o campo de registro resourceName será mapeado para o campo de UDM src.resource_ancestors.name . |
resource.folders.resourceFolder |
src.resource_ancestors.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.folders.resourceFolder será mapeado para o campo de UDM src.resource_ancestors.name . |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM src.resource_ancestors.product_object_id . |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.sourceId.projectNumber será mapeado para o campo UDM src.resource_ancestors.product_object_id . |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.sourceId.organizationNumber será mapeado para o campo UDM src.resource_ancestors.product_object_id . |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.type será mapeado para o campo de UDM src.resource_ancestors.resource_subtype . |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo de registro database.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value . |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo UDM src.resource.attribute.labels.key será definido como grantees e o campo de registro database.grantees será mapeado para o campo UDM src.resource.attribute.labels.value . |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value . |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value . |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId será mapeado para o campo de UDM src.resource.attribute.labels.value . |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId será mapeado para o campo de UDM src.resource.attribute.labels.value . |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri será mapeado para o campo de UDM src.resource.attribute.labels.value . |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization , o campo de registro sourceProperties.properties.restoreToExternalInstance.backupId será mapeado para o campo de UDM src.resource.attribute.labels.value . |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction , o campo de registro src.resource.attribute.labels.key/value será mapeado para o campo de UDM src.resource.attribute.labels.value . |
resourceName |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro exfiltration.sources.name será mapeado para o campo UDM src.resource.name e o campo de registro resourceName será mapeado para o campo src.resource_ancestors.name . |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization , o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo de UDM src.resource.name e o campo src.resource.resource_subtype será definido como CloudSQL . |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization , o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo de UDM src.resource.name e o campo src.resource.resource_subtype de UDM será definido como CloudSQL .Além disso, se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration , o campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource será mapeado para o campo de UDM src.resource.name e o campo de UDM src.resource.resource_subtype será definido como CloudSQL . |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro exfiltration.sources.name será mapeado para o campo UDM src.resource.name e o campo de registro resourceName será mapeado para o campo src.resource_ancestors.name . |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId será mapeado para o campo de UDM src.resource.product_object_id . |
access.serviceName |
target.application |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Exfiltration: CloudSQL Over-Privileged Grant , Persistence: New Geography ou Persistence: IAM Anomalous Grant , o campo de registro access.serviceName será mapeado para o campo UDM target.application . |
sourceProperties.properties.serviceName |
target.application |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled , Impair Defenses: Two Step Verification Disabled , Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed , o campo de registro sourceProperties.properties.serviceName será mapeado para o campo UDM target.application . |
sourceProperties.properties.domainName |
target.domain.name |
Se o valor do campo de registro category for igual a Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed , o campo de registro sourceProperties.properties.domainName será mapeado para o campo de UDM target.domain.name . |
sourceProperties.properties.domains.0 |
target.domain.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Cryptomining Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.domains.0 será mapeado para o campo UDM target.domain.name . |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action será mapeado para o campo de UDM target.group.attribute.labels.key/value . |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group , o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action será mapeado para o campo de UDM target.group.attribute.labels.key/value . |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member será mapeado para o campo de UDM target.group.attribute.labels.key/value . |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group , o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member será mapeado para o campo de UDM target.group.attribute.labels.key/value . |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public , o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin será mapeado para o campo de UDM target.group.attribute.permissions.name . |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions será mapeado para o campo de UDM target.group.attribute.permissions.name . |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group , o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName será mapeado para o campo de UDM target.group.attribute.roles.name . |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group , o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role será mapeado para o campo de UDM target.group.attribute.roles.name . |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role será mapeado para o campo de UDM target.group.attribute.roles.name . |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public , o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName será mapeado para o campo de UDM target.group.attribute.roles.name . |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant , o campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName será mapeado para o campo de UDM target.group.attribute.roles.name . |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group , o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName será mapeado para o campo de UDM target.group.group_display_name . |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public , o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName será mapeado para o campo de UDM target.group.group_display_name . |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group , o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName será mapeado para o campo de UDM target.group.group_display_name . |
sourceProperties.properties.ipConnection.destIp |
target.ip |
Se o valor do campo de registro category for igual a Malware: Bad IP , Malware: Cryptomining Bad IP ou Malware: Outgoing DoS , o campo de registro sourceProperties.properties.ipConnection.destIp será mapeado para o campo UDM target.ip . |
access.methodName |
target.labels.key/value [access_methodName] |
|
processes.argumentsTruncated |
target.labels.key/value [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels.key/value [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels.key/value [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels.key/value [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels.key/value [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels.key/value [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels.key/value [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels.key/value [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels.key/value [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels.key/value [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels.key/value [processes_script_contents] |
|
processes.script.hashedSize |
target.labels.key/value [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels.key/value [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels.key/value [sourceProperties_properties_methodName] |
Se o valor do campo de registro category for igual a Impair Defenses: Strong Authentication Disabled , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed , o campo de registro sourceProperties.properties.methodName será mapeado para o campo UDM target.labels.value . |
sourceProperties.properties.network.location |
target.location.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Bad IP , Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.network.location será mapeado para o campo UDM target.location.name . |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS , o campo de registro sourceProperties.properties.ipConnection.destPort será mapeado para o campo de UDM target.port . |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.query será mapeado para o campo de UDM target.process.command_line . |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
O campo de registro containers.labels.name é mapeado para o campo de UDM target.resource_ancestors.attribute.labels.key , e o campo de registro containers.labels.value é mapeado para o campo de UDM target.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.destVpc.projectId será mapeado para o campo de UDM target.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP , o campo de registro sourceProperties.properties.destVpc.subnetworkName será mapeado para o campo de UDM target.resource_ancestors.attribute.labels.value . |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP , o campo de registro sourceProperties.properties.network.subnetworkName será mapeado para o campo de UDM target.resource_ancestors.value . |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP , o campo de registro sourceProperties.properties.network.subnetworkId será mapeado para o campo de UDM target.resource_ancestors.value . |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name , e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Caso o campo de registro category seja igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro de category será igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro target.resource_ancestors.name será igual a Active Scan: Log4j Vulnerable to RCE ,category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name , e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Caso o campo de registro category seja igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro de category será igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro target.resource_ancestors.name será igual a Active Scan: Log4j Vulnerable to RCE ,category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
parent |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name , e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Caso o campo de registro category seja igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro de category será igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro target.resource_ancestors.name será igual a Active Scan: Log4j Vulnerable to RCE ,category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
containers.name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group , o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource será mapeado para o campo de UDM target.resource_ancestors.name . |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public , o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource será mapeado para o campo de UDM target.resource_ancestors.name . |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain , o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo target.resource_ancestors.name /UDM, e o campo de registro sourceProperties.properties.vpc.vpcName será mapeado para o campo target.resource_ancestors.name do UDM e o campo target.resource_ancestors.resource_type UDM será definido como VPC_NETWORK .Se o campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , o campo de registro category será igual ao campo target.resource_ancestors.name .category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo de registro sourceProperties.properties.gceInstanceId será mapeado para o campo de UDM target.resource_ancestors.product_object_id e o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
containers.imageId |
target.resource_ancestors.product_object_id |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key , o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.zone será mapeado para o campo de UDM target.resource.attribute.cloud.availability_zone . |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo UDM metadata.product_log_id . |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [finding_id] . Se o valor do campo de registro category for igual a um dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.product_object_id . Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [source_id] . Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM target.resource.attribute.labels.key/value [finding_id] . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.product_object_id . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.attribute.labels.key/value [source_id] . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId será mapeado para o campo de UDM target.resource.attribute.labels.value . |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId será mapeado para o campo de UDM target.resource.attribute.labels.value . |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri será mapeado para o campo de UDM target.resource.attribute.labels.value . |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration , o campo UDM target.resource.attribute.labels.key será definido como exportScope e o campo de registro sourceProperties.properties.exportToGcs.exportScope será mapeado para o campo UDM target.resource.attribute.labels.value . |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName será mapeado para o campo de UDM target.resource.attribute.labels.value . |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri será mapeado para o campo de UDM target.resource.attribute.labels.value . |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script , o campo de registro sourceProperties.properties.metadataKeyOperation será mapeado para o campo de UDM target.resource.attribute.labels.key/value . |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction , o campo de registro exfiltration.targets.components será mapeado para o campo de UDM target.resource.attribute.labels.key/value . |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration , o campo de registro sourceProperties.properties.exportToGcs.bucketAccess será mapeado para o campo de UDM target.resource.attribute.permissions.name . |
sourceProperties.properties.name |
target.resource.name |
Se o campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name é mapeado/o campo log2/ o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado para o campo de registro ou o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
Se o campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name é mapeado/o campo log2/ o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado para o campo de registro ou o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
resourceName |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.attempts.vmName |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.instanceDetails |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
Se o campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name é mapeado/o campo log2/ o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado para o campo de registro ou o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
exfiltration.targets.name |
target.resource.name |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , então o campo de registro sourceProperties.properties.name / o campo de registro sourceProperties.properties.name é mapeado/o campo , {1 o campo de registro é mapeado para o campo target.resource.name . category category category category category category target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.instanceId será mapeado para o campo de UDM target.resource.product_object_id . |
kubernetes.pods.containers.imageId |
target.resource.product_object_id |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo target.resource.resource_subtype de UDM.Além disso, se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group , o campo de UDM target.resource.resource_subtype será definido como Privileged Group .Além disso, se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration , o campo target.resource.resource_subtype do UDM será definido como BigQuery . |
|
target.resource.resource_type |
Se o valor do campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType corresponder ao regex BUCKET , o campo UDM target.resource.resource_type será definido como STORAGE_BUCKET .Além disso, se o valor do campo de registro category for igual a Brute Force: SSH , o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE .Além disso, se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Bad IP ou Malware: Cryptomining Bad IP , o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE .Além disso, se o campo de registro target.resource.resource_type for igual a category , o valor do campo de registro category também for igual a category .Exfiltration: BigQuery Data Exfiltration TABLE |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo de UDM target.url .Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo de UDM target.url . |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration , o campo de registro sourceProperties.properties.exportToGcs.gcsUri será mapeado para o campo de UDM target.url . |
sourceProperties.properties.requestUrl |
target.url |
Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt , o campo de registro sourceProperties.properties.requestUrl será mapeado para o campo de UDM target.url . |
sourceProperties.properties.policyLink |
target.url |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , o campo de registro sourceProperties.properties.policyLink será mapeado para o campo de UDM target.url . |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
Se o valor do campo de registro category for igual a Persistence: New Geography , o campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast será mapeado para o campo de UDM target.user.attribute.labels.value . |
sourceProperties.properties.attempts.username |
target.user.userid |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.attempts.username será mapeado para o campo de UDM target.user.userid .Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked , o campo de registro userid será mapeado para o campo de UDM target.user.userid . |
sourceProperties.properties.principalEmail |
target.user.userid |
Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked , o campo de registro userid será mapeado para o campo de UDM target.user.userid . |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels.key/value [Environment_Variables_name] |
|
|
target.labels.key/value [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Added Binary Executed ou Added Library Loaded , o campo de registro sourceProperties.VM_Instance_Name será mapeado para o campo de UDM target.resource_ancestors.name e o campo target.resource_ancestors.resource_type UDM será definido como VIRTUAL_MACHINE . |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
Se o valor do campo de registro category for igual a Increasing Deny Ratio , Allowed Traffic Spike ou Application DDoS Attack Attempt , o campo de registro sourceProperties.Backend_Service será mapeado para o campo UDM target.resource.name e o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name . |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
Se o valor do campo de registro category for igual a Increasing Deny Ratio , Allowed Traffic Spike ou Application DDoS Attack Attempt , o campo de UDM target.resource.resource_type será definido como BACKEND_SERVICE .Se o valor do campo de registro category for igual a Configurable Bad Domain , o campo de UDM target.resource.resource_type será definido como VIRTUAL_MACHINE . |
|
is_alert |
Se o valor do campo de registro state for igual a ACTIVE , se o valor do campo de registro mute_is_not_present não for igual a "true" e (o valor do campo de registro mute for igual a UNMUTED ou o valor do campo de registro mute for igual a UNDEFINED ), o campo UDM is_alert será definido como true , caso contrário, o campo UDM is_alert será definido como false . |
|
is_significant |
Se o valor do campo de registro state for igual a ACTIVE , se o valor do campo de registro mute_is_not_present não for igual a "true" e (o valor do campo de registro mute for igual a UNMUTED ou o valor do campo de registro mute for igual a UNDEFINED ), o campo UDM is_significant será definido como true , caso contrário, o campo UDM is_significant será definido como false . |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : extraiu user_id do campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail . Em seguida, o campo user_id é mapeado para o campo de UDM principal.user.userid . |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : extraiu user_id do campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail . Em seguida, o campo user_id é mapeado para o campo de UDM principal.user.userid . |
resourceName |
principal.asset.location.name |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection , Grok : extraiu project_name , region , zone_suffix , asset_prod_obj_id do campo de registro resourceName , o campo de registro region será mapeado para o campo principal.asset.location.name de UDM. |
resourceName |
principal.asset.product_object_id |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection , Grok : extraiu project_name , region , zone_suffix , asset_prod_obj_id do campo de registro resourceName , o campo de registro asset_prod_obj_id será mapeado para o campo principal.asset.product_object_id de UDM. |
resourceName |
principal.asset.attribute.cloud.availability_zone |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection , Grok : extraiu project_name , region , zone_suffix , asset_prod_obj_id do campo de registro resourceName , o campo de registro zone_suffix será mapeado para o campo principal.asset.attribute.cloud.availability_zone de UDM. |
resourceName |
principal.asset.attribute.labels[project_name] |
Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection , Grok : extraiu project_name , region , zone_suffix , asset_prod_obj_id do campo de registro resourceName , o campo de registro project_name será mapeado para o campo principal.asset.attribute.labels.value de UDM. |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | Se o valor do campo de registro category for igual a
Initial Access: Excessive Permission Denied Actions , o campo de registro
sourceProperties.properties.failedActions.methodName será
mapeado para o campo de UDM target.labels . |
target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | Se o valor do campo de registro category for igual a
Initial Access: Excessive Permission Denied Actions , o campo de registro
sourceProperties.properties.failedActions.serviceName será
mapeado para o campo de UDM target.labels . |
target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | Se o valor do campo de registro category for igual a
Initial Access: Excessive Permission Denied Actions , o campo de registro
sourceProperties.properties.failedActions.attemptTimes será
mapeado para o campo de UDM target.labels . |
target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | Se o valor do campo de registro category for igual a
Initial Access: Excessive Permission Denied Actions , o campo de registro
sourceProperties.properties.failedActions.lastOccurredTime
será mapeado para o campo de UDM target.labels . |
Referência de mapeamento de campo: identificador de evento para tipo de evento
Identificador do evento | Tipo de evento | Categoria de segurança |
---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLORAR |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLORAR |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
As tabelas a seguir contêm tipos de evento de UDM e mapeamento de campos de UDM para o Security Command Center: classes de descoberta VULNERABILITY
, MISCONFIGURATION
, OBSERVATION
, ERROR
, UNSPECIFIED
e POSTURE_VIOLATION
.
Categoria VULNERABILITY ao tipo de evento UDM
A tabela a seguir lista a categoria VULNERABILITY e os tipos de evento de UDM correspondentes.
Identificador do evento | Tipo de evento | Categoria de segurança |
---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLORAR |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
Categoria MISCONFIGURATION para o tipo de evento UDM
A tabela a seguir lista a categoria MISCONFIGURATION e os tipos de evento de UDM correspondentes.
Identificador do evento | Tipo de evento |
---|---|
API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_EXISTS | SCAN_UNCATEGORIZED |
API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
FULL_API_ACCESS | SCAN_UNCATEGORIZED |
OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
HTTP_LOAD_BALANCER | SCAN_NETWORK |
IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
WEAK_SSL_POLICY | SCAN_NETWORK |
BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
OPEN_CASSANDRA_PORT | SCAN_NETWORK |
OPEN_SMTP_PORT | SCAN_NETWORK |
OPEN_REDIS_PORT | SCAN_NETWORK |
OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
OPEN_POP3_PORT | SCAN_NETWORK |
OPEN_ORACLEDB_PORT | SCAN_NETWORK |
OPEN_NETBIOS_PORT | SCAN_NETWORK |
OPEN_MYSQL_PORT | SCAN_NETWORK |
OPEN_MONGODB_PORT | SCAN_NETWORK |
OPEN_MEMCACHED_PORT | SCAN_NETWORK |
OPEN_LDAP_PORT | SCAN_NETWORK |
OPEN_FTP_PORT | SCAN_NETWORK |
OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
OPEN_DNS_PORT | SCAN_NETWORK |
OPEN_HTTP_PORT | SCAN_NETWORK |
OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
OPEN_RDP_PORT | SCAN_NETWORK |
OPEN_TELNET_PORT | SCAN_NETWORK |
OPEN_FIREWALL | SCAN_NETWORK |
OPEN_SSH_PORT | SCAN_NETWORK |
SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
ROUTE_NOT_MONITORED | SCAN_NETWORK |
OWNER_NOT_MONITORED | SCAN_NETWORK |
AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
FIREWALL_NOT_MONITORED | SCAN_NETWORK |
NETWORK_NOT_MONITORED | SCAN_NETWORK |
SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
DEFAULT_NETWORK | SCAN_NETWORK |
DNS_LOGGING_DISABLED | SCAN_NETWORK |
PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
SSL_NOT_ENFORCED | SCAN_NETWORK |
AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
SQL_PUBLIC_IP | SCAN_NETWORK |
SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
FLOW_LOGS_DISABLED | SCAN_NETWORK |
PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
kms_key_region_europe | SCAN_UNCATEGORIZED |
kms_non_euro_region | SCAN_UNCATEGORIZED |
LEGACY_NETWORK | SCAN_NETWORK |
LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
Categoria OBSERVATION para tipo de evento UDM
A tabela a seguir lista a categoria OBSERVATION e os tipos de evento de UDM correspondentes.
Identificador do evento | Tipo de evento |
---|---|
Persistência: chave SSH do projeto adicionada | SETTING_MODIFICATION |
Persistência: adicionar papel sensível | RESOURCE_PERMISSIONS_CHANGE |
Impacto: instância de GPU criada | USER_RESOURCE_CREATION |
Impacto: muitas instâncias criadas | USER_RESOURCE_CREATION |
Categoria de ERRO para o tipo de evento de UDM
A tabela a seguir lista a categoria ERRO e os tipos de evento de UDM correspondentes.
Identificador do evento | Tipo de evento |
---|---|
VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
API_DISABLED | SCAN_UNCATEGORIZED |
KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
Categoria UNSPECIFIED para tipo de evento UDM
A tabela a seguir lista a categoria UNSPECIFIED e os tipos de eventos de UDM correspondentes.
Identificador do evento | Tipo de evento | Categoria de segurança |
---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
Categoria POSTURE_VIOLATION ao tipo de evento UDM
A tabela a seguir lista a categoria POSTURE_VIOLATION e os tipos de evento de UDM correspondentes.
Identificador do evento | Tipo de evento |
---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
Referência de mapeamento de campo: VULNERABILITY
A tabela a seguir lista os campos de registro da categoria VULNERABILITY e os campos de UDM correspondentes.
Campo RawLog | Mapeamento de UDM | Lógica |
---|---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
assetId | target.asset.asset_id | |
findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
sourceProperties.description | extensions.vuln.vulnerabilities.description | |
sourceProperties.finalUrl | network.http.referral_url | |
sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
sourceProperties.httpMethod | network.http.method | |
sourceProperties.name | target.resource.attribute.labels.key/value [nome_de_origem] | |
sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
externalUri | about.url | |
categoria | extensions.vuln.vulnerabilities.name | |
resourceName | principal.asset.location.name | region extraído de resourceName usando um padrão Grok e mapeado para o campo UDM principal.asset.location.name . |
resourceName | principal.asset.product_object_id | asset_prod_obj_id extraído de resourceName usando um padrão Grok e mapeado para o campo UDM principal.asset.product_object_id . |
resourceName | principal.asset.attribute.cloud.availability_zone | zone_suffix extraído de resourceName usando um padrão Grok e mapeado para o campo UDM principal.asset.attribute.cloud.availability_zone . |
sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
iamBindings.role | about.user.attribute.roles.name | |
iamBindings.member | about.user.email_addresses | |
iamBindings.action | about.user.attribute.labels.key/value[action] |
Referência de mapeamento de campo: MISCONFIGURATION
A tabela a seguir lista os campos de registro da categoria MISCONFIGURATION e os campos do UDM correspondentes.
Campo RawLog | Mapeamento de UDM |
---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
assetId | target.asset.asset_id |
externalUri | about.url |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
sourceProperties.ExposedService | target.application |
sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]. |
sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
sourceProperties.cli_remediation | target.process.command_line_history |
sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_compatibleFeatures] |
sourceProperties.TargetProxyUrl | target.url |
sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
Referência de mapeamento de campo: OBSERVATION
A tabela a seguir lista os campos de registro da categoria OBSERVATION e os campos de UDM correspondentes.
Campo RawLog | Mapeamento de UDM |
---|---|
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
assetDisplayName | target.asset.attribute.labels.key/value [nome_de_exibição_do_recurso] |
assetId | target.asset.asset_id |
Referência de mapeamento de campo: ERROR
A tabela a seguir lista os campos de registro da categoria ERROR e os campos de UDM correspondentes.
Campo RawLog | Mapeamento de UDM |
---|---|
externalURI | about.url |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campo: UNSPECIFIED
A tabela a seguir lista os campos de registro da categoria UNSPECIFIED e os campos de UDM correspondentes.
Campo RawLog | Mapeamento de UDM |
---|---|
sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
Referência de mapeamento de campo: POSTURE_VIOLATION
A tabela a seguir lista os campos de registro da categoria POSTURE_VIOLATION e os campos de UDM correspondentes.
Campo de registro | Mapeamento de UDM | Lógica |
---|---|---|
finding.resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro finding.resourceName não estiver vazio, o campo de registro finding.resourceName será mapeado para o campo de UDM target.resource.name .O campo project_name é extraído do campo de registro finding.resourceName usando o padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name será mapeado para o campo UDM target.resource_ancestors.name . |
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro resourceName não estiver vazio, o campo de registro resourceName será mapeado para o campo de UDM target.resource.name .O campo project_name será extraído do campo de registro resourceName usando o padrão Grok.Se o valor do campo project_name não estiver vazio, o campo project_name será mapeado para o campo UDM target.resource_ancestors.name . |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registro finding.cloudProvider contiver um dos valores a seguir, o campo de registro finding.cloudProvider será mapeado para o campo about.resource.attribute.cloud.environment UDM.
|
cloudProvider |
about.resource.attribute.cloud.environment |
Se o valor do campo de registro cloudProvider contiver um dos valores a seguir, o campo de registro cloudProvider será mapeado para o campo about.resource.attribute.cloud.environment UDM.
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
Se o valor do campo de registro resource.cloudProvider contiver um dos valores a seguir, o campo de registro resource.cloudProvider será mapeado para o campo target.resource.attribute.cloud.environment UDM.
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
Campos comuns: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION
A tabela a seguir lista campos comuns do CENTRO DE COMANDO DE SEGURANÇA: categorias VULNERABILITY
, MISCONFIGURATION
, OBSERVATION
, ERROR
, UNSPECIFIED
, POSTURE_VIOLATION
e TOXIC_COMBINATION
e os campos de UDM correspondentes.
Campo RawLog | Mapeamento de UDM | Lógica |
---|---|---|
compliances.ids |
about.labels.key/value [compliance_ids] |
|
compliances.version |
about.labels.key/value [compliance_version] |
|
compliances.standard |
about.labels.key/value [compliances_standard] |
|
connections.destinationIp |
about.labels[connections_destination_ip] |
Se o valor do campo de registro connections.destinationIp não for igual a sourceProperties.properties.ipConnection.destIp , o campo de registro connections.destinationIp será mapeado para o campo de UDM about.labels.value . |
connections.destinationPort |
about.labels[connections_destination_port] |
|
connections.protocol |
about.labels[connections_protocol] |
|
connections.sourceIp |
about.labels[connections_source_ip] |
|
connections.sourcePort |
about.labels[connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
O campo target.resource_ancestors.resource_type UDM está definido como CLUSTER . |
|
about.resource.attribute.cloud.environment |
O campo about.resource.attribute.cloud.environment UDM está definido como GOOGLE_CLOUD_PLATFORM . |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo de registro canonicalName .Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo de UDM metadata.product_log_id .metadata.product_log_id |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
Se o valor do campo de registro message corresponder ao regex sourceProperties.sourceId.*?customerOrganizationNumber , o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM principal.resource.attribute.labels.value . |
resource.projectName |
principal.resource.name |
|
|
principal.user.account_type |
Se o valor do campo de registro access.principalSubject corresponder ao regex serviceAccount , o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE .Caso contrário, se o valor do campo de registro access.principalSubject corresponder à regex user , o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE . |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
|
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
Se o valor do campo de registro message corresponder ao regex contacts.?security , o campo UDM security_result.about.user.attribute.roles.name será definido como security .Se o valor do campo de registro message corresponder ao regex contacts.?technical , o campo UDM security_result.about.user.attribute.roles.name será definido como Technical . |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
Se o valor do campo de registro state for igual a ACTIVE , o campo UDM security_result.alert_state será definido como ALERTING .Além disso, o campo UDM security_result.alert_state será definido como NOT_ALERTING . |
findingClass, category |
security_result.catgory_details |
O campo de registro findingClass - category é mapeado para o campo security_result.catgory_details do UDM. |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED , o campo de registro muteInitiator será mapeado para o campo de UDM security_result.detection_fields.value . |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
Se o valor do campo de registro mute for igual a MUTED ou UNMUTED , o campo de registro muteUpdateTimer será mapeado para o campo de UDM security_result.detection_fields.value . |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Over-Privileged Grant , Exfiltration: CloudSQL Restore Backup to External Organization , Initial Access: Log4j Compromise Attempt , Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant , o campo de UDM security_result.detection_fields.key será definido como sourceProperties_contextUris_relatedFindingUri_url e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo de UDM metadata.url_back_to_product . |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
Se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP , o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo UDM security_result.detection_fields.key , e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo UDM security_result.detection_fields.value . |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked , Initial Access: Disabled Password Leak , Initial Access: Government Based Attack , Initial Access: Suspicious Login Blocked , Impair Defenses: Strong Authentication Disabled ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed , o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo security_result.detection_fields.key do UDM, e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo security_result.detection_fields.value do UDM. |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH , o campo UDM security_result.priority será definido como HIGH_PRIORITY .Além disso, se o valor do campo de registro sourceProperties.detectionPriority for igual a MEDIUM , o campo UDM security_result.priority será definido como MEDIUM_PRIORITY .Além disso, se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW , o campo UDM security_result.priority será definido como LOW_PRIORITY . |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo de registro database.query será mapeado para o campo de UDM src.process.command_line .Além disso, o campo de registro database.query é mapeado para o campo de UDM target.process.command_line . |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value .Além disso, o campo de registro resource.folders.resourceFolderDisplayName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.parentDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.key/value .Além disso, o campo de registro resource.parentDisplayName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.parentName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.key/value .Além disso, o campo de registro resource.parentName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.projectDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.key/value .Além disso, o campo de registro resource.projectDisplayName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.type será mapeado para o campo de UDM src.resource_ancestors.resource_subtype . |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo de registro database.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value . |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant , o campo UDM src.resource.attribute.labels.key será definido como grantees e o campo de registro database.grantees será mapeado para o campo UDM src.resource.attribute.labels.value . |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value .Além disso, o campo de registro resource.displayName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value .Além disso, o campo de registro resource.display_name é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.type |
src.resource_ancestors.resource_subtype |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.type será mapeado para o campo de UDM src.resource_ancestors.resource_subtype . |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value .Além disso, o campo de registro resource.displayName é mapeado para o campo de UDM target.resource.attribute.labels.value . |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive , o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value .Além disso, o campo de registro resource.display_name é mapeado para o campo de UDM target.resource.attribute.labels.value . |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction , o campo de registro exfiltration.sources.components será mapeado para o campo de UDM src.resource.attribute.labels.value . |
resourceName |
src.resource.name |
Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration , o campo de registro resourceName será mapeado para o campo UDM src.resource.name . |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control , Exfiltration: BigQuery Data Extraction , Exfiltration: BigQuery Data to Google Drive , Exfiltration: CloudSQL Data Exfiltration , Exfiltration: CloudSQL Restore Backup to External Organization , Exfiltration: CloudSQL Over-Privileged Grant , Persistence: New Geography ou Persistence: IAM Anomalous Grant , o campo de registro access.serviceName será mapeado para o campo UDM target.application . |
access.methodName |
target.labels.key/value [access_methodName] |
|
processes.argumentsTruncated |
target.labels.key/value [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels.key/value [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels.key/value [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels.key/value [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels.key/value [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels.key/value [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels.key/value [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels.key/value [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels.key/value [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels.key/value [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels.key/value [processes_script_contents] |
|
processes.script.hashedSize |
target.labels.key/value [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels.key/value [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
Se o valor do campo de registro category for igual a Malware: Bad Domain , Malware: Bad IP ou Malware: Cryptomining Bad IP , o campo de registro resourceName será mapeado para o campo de UDM target.resource_ancestors.name .Além disso, se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro resourceName será mapeado para o campo de UDM target.resource_ancestors.name .Além disso, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script , o campo de registro sourceProperties.properties.projectId será mapeado para o campo do UDM target.resource_ancestors.name . |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro sourceProperties.properties.zone será mapeado para o campo de UDM target.resource.attribute.cloud.availability_zone . |
canonicalName |
metadata.product_log_id |
O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo UDM metadata.product_log_id . |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [finding_id] . Se o valor do campo de registro category for igual a um dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.product_object_id . Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [source_id] . Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM target.resource.attribute.labels.key/value [finding_id] . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.product_object_id |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.product_object_id . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.attribute.labels.key/value [source_id] . Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction , o campo de registro exfiltration.targets.components será mapeado para o campo de UDM target.resource.attribute.labels.key/value . |
resourceName |
target.resource.name |
Se o valor do campo de registro category for igual a Brute Force: SSH , o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name UDM.Além disso, se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP , o campo de registro resourceName será mapeado para o campo target.resource_ancestors.name UDM e o campo target.resource.resource_type UDM será definido como VIRTUAL_MACHINE .Além disso, se o campo de registro category for igual a {10/DM} ou Exfiltration: BigQuery Data to Google Drive o campo de registro for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive , {11/ o campo de registro for igual a Exfiltration: BigQuery Data Extraction .category resourceName exfiltration.target.name exfiltration.target.name target.resource.name target.resource.name target.resource.name Exfiltration: BigQuery Data Exfiltration |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RegionCode , o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM principal.location.country_or_region .
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RemoteHost , o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM principal.ip .
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a UserAgent , o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM network.http.user_agent .
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RequestUriPath , o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM principal.url .
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.compromised_account será mapeado para o campo principal.user.userid do UDM e o campo principal.user.account_type do UDM será definido como SERVICE_ACCOUNT_TYPE .
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.project_identifier será mapeado para o campo de UDM principal.resource.product_object_id .
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.private_key_identifier será mapeado para o campo de UDM principal.user.attribute.labels.value .
|
sourceProperties.action_taken |
principal.labels.key/value [action_taken] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.action_taken será mapeado para o campo de UDM principal.labels.value .
|
sourceProperties.finding_type |
principal.labels.key/value [finding_type] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.finding_type será mapeado para o campo de UDM principal.labels.value .
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.url será mapeado para o campo de UDM principal.user.attribute.labels.value .
|
sourceProperties.security_result.summary |
security_result.summary |
Se o valor do campo de registro category for igual a account_has_leaked_credentials , o campo de registro sourceProperties.security_result.summary será mapeado para o campo de UDM security_result.summary .
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |