Coletar descobertas do Security Command Center

Compatível com:

Este documento descreve como coletar logs do Security Command Center configurando o Security Command Center e processando as descobertas no Google Security Operations. Este documento também lista os eventos compatíveis.

Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google e Como exportar as descobertas do Security Command Center para as Operações de segurança do Google. Uma implantação típica consiste no Security Command Center e no feed do Google Security Operations configurado para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

  • Google Cloud: o sistema a ser monitorado em que o Security Command Center está instalado.

  • Descobertas de detecção de ameaças a eventos do Security Command Center: coleta informações da fonte de dados e gera descobertas.

  • Google Security Operations: retém e analisa os registros do Security Command Center.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos ao formato UDM estruturado. As informações neste documento se aplicam ao analisador do Security Command Center com os seguintes rótulos de ingestão:

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

Configure o Security Command Center e o Google Cloud para enviar descobertas ao Google Security Operations

Descobertas de detecção de ameaças a eventos com suporte

Nesta seção, listamos as descobertas compatíveis com a detecção de ameaças a eventos. Para mais informações sobre as regras e descobertas de detecção de ameaças a eventos do Security Command Center, consulte Regras de detecção de ameaças a eventos.

Nome de descoberta Descrição
Verificação ativa: Log4j vulnerável a RCE Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciadas por verificadores de vulnerabilidade do Log4j suportados.
Força bruta: SSH Detecção da força bruta do SSH em um host
Acesso às credenciais: participante externo adicionado ao grupo privilegiado Detecta quando um participante externo é adicionado a um Grupo do Google privilegiado (um grupo que recebeu papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Saiba mais em Mudanças não seguras nos Grupos do Google.
Acesso às credenciais: grupo privilegiado aberto para público Detecta quando um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Saiba mais em Mudanças não seguras nos Grupos do Google.
Acesso às credenciais: papel confidencial concedido ao grupo híbrido Detecta quando papéis confidenciais são concedidos a um Grupo do Google com participantes externos. Saiba mais em Mudanças não seguras nos Grupos do Google.
Evasão de defesa: modificar o VPC Service Control Detecta uma alteração em um perímetro do VPC Service Controls que reduz a proteção oferecida por ele.
Descoberta: pode receber objetos sensíveis do Kubernetes checkPreview Um usuário malicioso tentou determinar quais objetos sensíveis no Google Kubernetes Engine (GKE) ele pode consultar usando o comando kubectl auth can-i get.
Descoberta: autoinvestigação da conta de serviço Detecção de uma credencial de conta de serviço do Identity and Access Management (IAM) usada para investigar os papéis e as permissões associados à mesma conta de serviço.
Evasão: acesso de proxy de anonimização Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP de Tor.
Exfiltração: exfiltração de dados do BigQuery Detecta os seguintes cenários:
  • Recursos de propriedade da organização protegida que são salvos fora dela, incluindo operações de cópia ou transferência.
  • Tentativas de acessar recursos do BigQuery protegidos pelo VPC Service Controls.
Exfiltração: extração de dados do BigQuery Detecta os seguintes cenários:
  • Por meio de operações de extração, um recurso do BigQuery que pertence à organização protegida é salvo em um bucket do Cloud Storage fora da organização.
  • Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage acessível ao público de propriedade dessa organização.
Exfiltração: dados do BigQuery para o Google Drive Detecta os seguintes cenários:

Um recurso do BigQuery pertencente à organização protegida é salvo, por meio de operações de extração, em uma pasta do Google Drive.

Exfiltração: exfiltração de dados do Cloud SQL Detecta os seguintes cenários:
  • Dados de instâncias ativas exportados para um bucket do Cloud Storage fora da organização.
  • Dados de instâncias ativas exportados para um bucket do Cloud Storage de propriedade da organização e acessível publicamente.
Exfiltração: backup de restauração do Cloud SQL para organização externa Detecta quando o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização.
Exfiltração: concessão privilegiada de SQL do Cloud SQL Detecta quando um usuário ou papel do Cloud SQL Postgres recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Defesa por danos: autenticação forte desativada A verificação em duas etapas foi desativada para a organização.
Defesa de danos: verificação em duas etapas desativada Um usuário desativou a verificação em duas etapas.
Acesso inicial: conta desativada A conta de um usuário foi suspensa devido à atividade suspeita.
Acesso inicial: vazamento de senha desativado A conta de um usuário foi desativada porque foi detectado um vazamento de senha.
Acesso inicial: ataque baseado no governo Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador.
Acesso inicial: tentativa de comprometimento de Log4j Detecta pesquisas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. Essas descobertas têm baixa gravidade, porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento.
Acesso inicial: login suspeito bloqueado Um login suspeito na conta de um usuário foi detectado e bloqueado.
Malware Log4j: domínio inválido Detecção de tráfego de exploração do Log4j com base em uma conexão ou uma pesquisa de um domínio conhecido usado em ataques do Log4j.
Malware Log4j: IP inválido Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j.
Malware: domínio inválido Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido.
Malware: IP inválido Detecção de malware com base em uma conexão com um endereço IP inválido conhecido.
Malware: domínio criptografado de criptomineração Detecção de criptomineração com base em uma conexão ou uma pesquisa de um domínio de mineração de criptomoedas conhecido.
Malware: criptomoedas com IP inválido Detecção de mineração de criptomoedas com base na conexão com um endereço IP de mineração conhecido.
DoS de saída Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do Compute Engine Detecção de modificação no valor da chave SSH de metadados de instâncias do Compute Engine em uma instância estabelecida (anterior a uma semana).
Persistência: script de inicialização adicionado pelo administrador do Compute Engine Detecção de uma modificação no valor do script de inicialização de metadados de instância do Compute Engine em uma instância estabelecida (anterior a uma semana).
Persistência: concessão anômala de IAM Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Esse detector usa as políticas do IAM de uma organização como contexto. Se ocorrer uma concessão confidencial do IAM a um membro externo e houver menos de três políticas do IAM semelhantes a ela, o detector gerará uma descoberta.
Persistência: novo método de API Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes.
Persistência: novo user agent Detecção de contas de serviço do IAM acessando o Google Cloud por user agents anômalos ou suspeitos.
Persistência: alternância de SSO A configuração Ativar SSO (logon único) na conta de administrador foi desativada.
Persistência: configurações de SSO alteradas As configurações de SSO da conta de administrador foram alteradas.
Escalonamento de privilégios: mudanças em objetos RBAC confidenciais do Kubernetes. Para escalonar o privilégio, uma pessoa mal-intencionada tentou modificar os objetos ClusterRole e ClusterRoleBinding cluster-admin usando uma solicitação PUT ou PATCH.
Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. Um usuário possivelmente malicioso criou uma solicitação de assinatura de certificado (CSR) mestre do Kubernetes, que concede acesso ao cluster-admin.
Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes Um usuário malicioso tentou criar novos objetos cluster-admin RoleBinding ou ClusterRoleBinding para aumentar o privilégio.
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas. Uma pessoa mal-intencionada consultou uma solicitação de assinatura de certificado (CSR) com o comando kubectl usando credenciais de inicialização comprometidas.
Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes Um usuário malicioso criou pods contendo contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.

Um contêiner privilegiado tem o campo "privileged" definido como "true". Um contêiner com recursos de escalonamento de privilégios tem o campo "allowPrivilegeEscalation" definido como "true".

Acesso inicial: criação de chave em uma conta de serviço inativa Detecta eventos em que uma chave é criada para uma conta de serviço inativa gerenciada pelo usuário. Nesse contexto, uma conta de serviço é considerada inativa se permanecer inativa por mais de 180 dias.
Árvore de processos O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não deve gerar um processo de shell, o detector aciona uma descoberta.
Shell filho inesperado O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector vai verificar o processo pai. Se o processo pai for um binário que não precisa gerar um processo de shell, o detector vai acionar uma descoberta.
Execução: adição de binário malicioso executado O detector procura um binário em execução que não fazia parte da imagem do contêiner original e foi identificado como malicioso com base na inteligência de ameaças.
Execução: binário malicioso modificado executado O detector procura um binário em execução que foi originalmente incluído na imagem do contêiner, mas foi modificado durante a execução e identificado como malicioso com base na inteligência de ameaças.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador Detecta quando uma solicitação delegada em várias etapas anômala é encontrada para uma atividade administrativa.
Conta de implantação forçada usada: break_speed_account Detecta o uso de uma conta de acesso emergencial (implantação forçada)
Domínio inválido configurável: APT29_Domains Detecta uma conexão com um nome de domínio especificado
Concessão de papel inesperada: papéis proibidos Detecta quando um papel especificado é concedido a um usuário
IP inválido configurável Detecta uma conexão com um endereço IP especificado
Tipo inesperado de instância do Compute Engine Detecta a criação de instâncias do Compute Engine que não correspondem a um tipo especificado de instância ou configuração.
Imagem de origem inesperada do Compute Engine Detecta a criação de uma instância do Compute Engine com uma imagem ou família de imagens que não corresponde a uma lista especificada
Região inesperada do Compute Engine Detecta a criação de uma instância do Compute Engine em uma região que não está em uma lista especificada.
Papel personalizado com permissão proibida Detecta quando um papel personalizado com qualquer uma das permissões do IAM especificadas é concedido a um principal.
Chamada de API do Cloud inesperada Detecta quando um principal especificado chama um método especificado em um recurso especificado. Uma descoberta só será gerada se todas as expressões regulares corresponderem em uma única entrada de registro.

Descobertas do GCP_SECURITYCENTER_ERROR compatíveis

O mapeamento da UDM pode ser encontrado na tabela Referência de mapeamento de campo: ERRO.

Nome de descoberta Descrição
VPC_SC_RESTRICTION A Análise de integridade da segurança não pode produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço, e a conta de serviço do Security Command Center não tem acesso ao perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT O projeto configurado para exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar descobertas para o Logging.
API_DISABLED Uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas ao Security Command Center.
KTD_IMAGE_PULL_FAILURE O Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) do gcr.io, o host de imagem do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection.

Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection.

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS Uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS O Container Threat Detection não pode gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que o Container Threat Detection seja ativado no cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS A conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.

Descobertas do GCP_SECURITYCENTER_OBSERVATION compatíveis

Você encontra o mapeamento de UDM na tabela Referência de mapeamento de campo: OBSERVATION.

Nome de descoberta Descrição
Persistência: chave SSH do projeto adicionada Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias.
Persistência: adicionar papel sensível Um papel do IAM no nível da organização confidencial ou altamente privilegiado foi concedido em uma organização há mais de 10 dias.

Descobertas de GCP_SECURITYCENTER_UNSPECIFIED com suporte

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: UNSPECIFIED.

Nome de descoberta Descrição
OPEN_FIREWALL Um firewall está configurado para ser aberto ao acesso público.

Resultados de GCP_SECURITYCENTER_VULNERABILITY com suporte

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: VULNERABILITY.

Nome de descoberta Descrição
DISK_CSEK_DISABLED Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Detector de casos especiais.
ALPHA_CLUSTER_ENABLED Os recursos do cluster Alfa estão ativados para um cluster do GKE.
AUTO_REPAIR_DISABLED O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED Os nós protegidos do GKE não estão ativados em um cluster
COS_NOT_USED As VMs do Compute Engine não estão usando o Container-Optimized OS, que foi projetado para executar contêineres do Docker no Google Cloud com segurança.
INTEGRITY_MONITORING_DISABLED O monitoramento de integridade está desativado para um cluster do GKE.
IP_ALIAS_DISABLED Um cluster do GKE foi criado com intervalos de IP de alias desativados.
LEGACY_METADATA_ENABLED Os metadados legados são ativados nos clusters do GKE.
RELEASE_CHANNEL_DISABLED Um cluster do GKE não está inscrito em um canal de lançamento.
DATAPROC_IMAGE_OUTDATED Um cluster do Dataproc foi criado com uma versão da imagem do Dataproc afetada pelas vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).
PUBLIC_DATASET Um conjunto de dados está configurado para ser aberto ao acesso público.
DNSSEC_DISABLED O DNSSEC está desativado nas zonas do Cloud DNS.
RSASHA1_FOR_SIGNING RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
REDIS_ROLE_USED_ON_ORG Um papel do Redis IAM é atribuído no nível da organização ou da pasta.
KMS_PUBLIC_KEY Uma chave criptográfica do Cloud KMS é acessível publicamente.
SQL_CONTAINED_DATABASE_AUTHENTICATION A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING A flag de banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_EXTERNAL_SCRIPTS_ENABLED A flag de banco de dados de scripts externos ativados para uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE A flag de banco de dados "local_infile" de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_ERROR_VERBOSITY A flag de banco de dados "log_error_verbosity" de uma instância do Cloud SQL para PostgreSQL não está definida como padrão ou mais rigorosa.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED A flag do banco de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1".
SQL_LOG_MIN_ERROR_STATEMENT A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
SQL_LOG_MIN_MESSAGES A flag do banco de dados log_min_messages para uma instância do Cloud SQL para PostgreSQL não está definida como um aviso.
SQL_LOG_EXECUTOR_STATS_ENABLED A flag de banco de dados "log_executor_status" de uma instância do Cloud SQL para PostgreSQL não está definida como desativada.
SQL_LOG_HOSTNAME_ENABLED A flag de banco de dados "log_hostname" de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PARSER_STATS_ENABLED A flag do banco de dados log_parser_stats de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PLANNER_STATS_ENABLED A flag de banco de dados log_planner_stats de uma instância do Cloud SQL para PostgreSQL não está definida como "Desativada".
SQL_LOG_STATEMENT_STATS_ENABLED A flag de banco de dados log_statement_stats de uma instância do Cloud SQL para PostgreSQL não está definida como "Desativada".
SQL_LOG_TEMP_FILES A flag de banco de dados "log_temp_files" de uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED A flag do banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625 A flag de banco de dados (flag de trace) 3625 de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED A flag de banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
PUBLIC_LOG_BUCKET Um bucket de armazenamento usado como coletor de registros é acessível publicamente.
ACCESSIBLE_GIT_REPOSITORY Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver essa descoberta, remova o acesso não intencional público ao repositório do SVN.
CACHEABLE_PASSWORD_INPUT As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin". Para caracteres curinga de subdomínio, adicione o ponto no domínio raiz ao início, por exemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação de origem antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho "Origin" antes de refleti-lo no cabeçalho de resposta "Access-Control-Allow-Origin", por exemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver esse problema, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente.
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente.
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.
SERVER_SIDE_REQUEST_FORGERY Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações.
SESSION_ID_LEAK Ao fazer uma solicitação entre domínios, o aplicativo da web inclui o identificador de sessão do usuário no cabeçalho de solicitação Referer. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.
SQL_INJECTION Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
STRUTS_INSECURE_DESERIALIZATION Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular.
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.
XXE_REFLECTED_FILE_LEAKAGE Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.
BASIC_AUTHENTICATION_ENABLED O IAM ou a autenticação de certificado do cliente precisa ser ativada nos clusters do Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED Os clusters do Kubernetes precisam ser criados com certificados do cliente ativados.
LABELS_NOT_USED Rótulos podem ser usados para decompor informações de faturamento
PUBLIC_STORAGE_OBJECT A ACL de objetos de armazenamento não pode conceder acesso a allUsers.
SQL_BROAD_ROOT_LOGIN O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados
WEAK_CREDENTIALS Esse detector verifica credenciais fracas usando métodos de força bruta do ncrack.

Serviços suportados: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WinRM, DICOM

ELASTICSEARCH_API_EXPOSED A API Elasticsearch permite que os autores das chamadas realizem consultas arbitrárias, escrevam e executem scripts e adicionem outros documentos ao serviço.
EXPOSED_GRAFANA_ENDPOINT No Grafana 8.0.0 a 8.3.0, os usuários podem acessar sem autenticação um endpoint com vulnerabilidade de travessia de diretórios que permite a qualquer usuário ler qualquer arquivo no servidor sem autenticação. Para mais informações, consulte CVE-2021-43798.
EXPOSED_METABASE As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade no suporte personalizado ao mapa GeoJSON e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Este detector verifica se os endpoints confidenciais do atuador de aplicativos Spring Boot estão expostos. Alguns dos endpoints padrão, como /heapdump, podem expor informações sensíveis. Outros endpoints, como /env, podem levar à execução remota do código. No momento, apenas /heapdump está marcado.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Este detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado.
JAVA_JMX_RMI_EXPOSED A Java Management Extension (JMX) permite o monitoramento e o diagnóstico remotos de aplicativos Java. Executar o JMX com um endpoint de invocação de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e o use para criar novos MBeans a partir de URLs arbitrários.
JUPYTER_NOTEBOOK_EXPOSED_UI Este detector verifica se um Notebook do Jupyter não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Jupyter Notebook não autenticado coloca a VM de hospedagem em risco de execução remota de código.
KUBERNETES_API_EXPOSED A API Kubernetes é exposta e pode ser acessada por autores de chamada não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação inacabada do WordPress expõe a página /wp-admin/install.php, que permite que o invasor defina a senha do administrador e, possivelmente, comprometa o sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Esse detector verifica se há uma instância do Jenkins não autenticada enviando um ping de sondagem para o endpoint /view/all/newJob como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário "createItem", que permite a criação de jobs arbitrários que podem levar à execução remota do código.
APACHE_HTTPD_RCE Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminhos para mapear URLs para arquivos fora da raiz do documento esperada e ver a origem dos arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte:

Registro CVE-2021-41773

Vulnerabilidades do Apache HTTP Server 2.4

APACHE_HTTPD_SSRF Os invasores podem criar um URI para o servidor da Web Apache que faz com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte:

Registro CVE-2021-40438

Vulnerabilidades do Apache HTTP Server 2.4

CONSUL_RCE Os atacantes podem executar um código arbitrário em um servidor do Consul porque a instância do Consul é configurada com -enable-script-checks definido como verdadeiro e a API HTTP do Consul não é segura e pode ser acessada pela rede. No Consul 0.9.0 e em versões anteriores, as verificações de script são ativadas por padrão. Para mais informações, consulte Como proteger o Consul contra riscos de RCE em configurações específicas. Para verificar essa vulnerabilidade, o Rapid Vulnerability Detection registra um serviço na instância do Consul usando o endpoint REST /v1/health/service, que executa uma destas ações: * Um comando curl para um servidor remoto fora da rede. Um invasor pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. A Detecção rápida de vulnerabilidades verifica a saída do comando usando o endpoint REST /v1/health/service. * Após a verificação, o Rapid Vulnerability Detection limpa e cancela o registro do serviço usando o endpoint REST /v1/agent/service/deregister/.
DRUID_RCE O Apache Druid inclui a capacidade de executar códigos JavaScript fornecidos pelo usuário incorporados em vários tipos de solicitações. Essa funcionalidade é destinada ao uso em ambientes de alta confiança e fica desativada por padrão. No entanto, no Druid 0.20.0 e versões anteriores, um usuário autenticado pode enviar uma solicitação criada especificamente que força o Druid a executar o código JavaScript fornecido pelo usuário para essa solicitação, independentemente da configuração do servidor. Isso pode ser usado para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhes do CVE-2021-25646.
DRUPAL_RCE

As versões do Drupal anteriores à 7.58, 8.x anteriores à 8.3.9, 8.4.x anteriores à 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota de código em solicitações AJAX da API Form.

As versões 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 do Drupal são vulneráveis à execução remota de código quando o módulo do serviço da Web RESTful ou a JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada.

FLINK_FILE_DISCLOSURE Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST do processo do JobManager. O acesso é restrito a arquivos acessíveis pelo processo JobManager.
GITLAB_RCE Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos.
GoCD_RCE No GoCD 21.2.0 e anteriores, há um endpoint que pode ser acessado sem autenticação. Esse endpoint tem uma vulnerabilidade de travessia de diretórios que permite que um usuário leia qualquer arquivo no servidor sem autenticação.
JENKINS_RCE As versões 2.56 e anteriores do Jenkins e as versões 2.46.1 LTS e anteriores são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java malicioso serializado.
JOOMLA_RCE

As versões 1.5.x, 2.x e 3.x do Joomla anteriores à 3.4.6 são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho elaborado que contém objetos PHP serializados.

As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contenha um objeto PHP serializado.

LOG4J_RCE No Apache Log4j2 2.14.1 e anteriores, os recursos do JNDI que são usados em configurações, mensagens de registro e parâmetros não protegem contra LDAP controlado pelo invasor e outros endpoints relacionados a JNDI. Para mais informações, consulte CVE-2021-44228 (em inglês).
MANTISBT_PRIVILEGE_ESCALATION A versão 2.3.0 do MantisBT permite a redefinição arbitrária de senhas e acesso de administrador não autenticado ao fornecer um valor confirm_hash vazio para Verify.php.
OGNL_RCE As instâncias do servidor e data center Confluence contêm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute código arbitrário. Para mais informações, consulte CVE-2021-26084.
OPENAM_RCE O servidor OpenAM 14.6.2 e anteriores e o servidor ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não exige autenticação, e a execução remota do código pode ser acionada com o envio de uma única solicitação /ccversion/* elaborada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464 (em inglês).
ORACLE_WEBLOGIC_RCE Certas versões do produto Oracle WebLogic Server do middleware do Oracle Fusion Fusion (componente: Console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade fácil de explorar permite que um invasor não autenticado com acesso de rede por HTTP comprometa um Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882.
PHPUNIT_RCE As versões do PHPUnit anteriores à 5.6.3 permitem a execução remota do código com uma única solicitação POST não autenticada.
PHP_CGI_RCE As versões do PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota de código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere = (sinal de igual). Isso permite que invasores adicionem opções de linha de comando que sejam executadas no servidor.
PORTAL_RCE A desserialização de dados não confiáveis nas versões do Liferay Portal anteriores à 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por meio dos serviços da Web JSON.
REDIS_RCE Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores poderão executar um código arbitrário.
SOLR_FILE_EXPOSED A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode elaborar uma solicitação diretamente para ativar uma configuração específica e, por fim, implementar uma falsificação de solicitação do lado do servidor (SSRF) ou ler arquivos arbitrários.
SOLR_RCE As versões 5.0.0 a 8.3.1 do Apache Solr são vulneráveis à execução remota do código por meio de VelocityResponseWriter se params.resource.loader.enabled estiver definido como verdadeiro. Isso permite que invasores criem um parâmetro que contenha um modelo de velocidade malicioso.
STRUTS_RCE
  • As versões do Apache Struts anteriores à 2.3.32 e 2.5.x anteriores à 2.5.10.1 são vulneráveis à execução remota de código. A vulnerabilidade pode ser desencadeada por um invasor não autenticado que forneça um cabeçalho Content-Type elaborado.
  • O plug-in REST nas versões 2.1.1 a 2.3.x do Apache Struts antes da 2.3.34 e 2.5.x antes da 2.5.13 são vulneráveis à execução remota de código ao desserializar cargas de trabalho XML criadas.
  • As versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do Apache Struts são vulneráveis à execução remota de código quando sempreSelectFullNamespace é definido como "true" e existem outras configurações de ação.
TOMCAT_FILE_DISCLOSURE As versões 9.x do Apache Tomcat anteriores à 9.0.31, 8.x antes da 8.5.51, 7.x antes da 7.0.100 e todas as 6.x são vulneráveis ao código-fonte e à divulgação da configuração por meio de um conector exposto do protocolo do Apache JServ. Em alguns casos, ele é aproveitado para executar código remoto se o upload de arquivos for permitido.
VBULLETIN_RCE Os servidores vBulletin que executam as versões 5.0.0 até 5.5.4 estão vulneráveis à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação de string de rota.
VCENTER_RCE As versões 7.x do VMware vCenter Server anteriores à 7.0 U1c, 6.7 antes da 6.7 U3l e 6.5 antes da 6.5 U3n são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada por um invasor que faz o upload de um arquivo Java Server Pages criado para um diretório acessível pela Web e, em seguida, aciona a execução desse arquivo.
WEBLOGIC_RCE Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade de execução remota de código, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada à CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Para mais informações, consulte CVE-2020-14883.
OS_VULNERABILITY O VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.
UNUSED_IAM_ROLE O recomendador do IAM detectou uma conta de usuário que tem um papel do IAM que não foi usado nos últimos 90 dias.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: proprietário, editor ou leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço.

Resultados de GCP_SECURITYCENTER_MISCONFIGURATION com suporte

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: MISCONFIGURATION.

Nome de descoberta Descrição
API_KEY_APIS_UNRESTRICTED Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.
API_KEY_APPS_UNRESTRICTED Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável
API_KEY_EXISTS Um projeto está usando chaves de API em vez da autenticação padrão.
API_KEY_NOT_ROTATED A chave de API não é alternada há mais de 90 dias
PUBLIC_COMPUTE_IMAGE Uma imagem do Compute Engine pode ser acessada publicamente.
CONFIDENTIAL_COMPUTING_DISABLED A Computação confidencial está desativada em uma instância do Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto.
COMPUTE_SECURE_BOOT_DISABLED Esta VM protegida não tem a Inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.
DEFAULT_SERVICE_ACCOUNT_USED Uma instância é configurada para usar a conta de serviço padrão.
FULL_API_ACCESS Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.
OS_LOGIN_DISABLED O Login do SO está desativado nesta instância.
PUBLIC_IP_ADDRESS Uma instância tem um endereço IP público.
SHIELDED_VM_DISABLED A VM protegida está desativada nesta instância.
COMPUTE_SERIAL_PORTS_ENABLED As portas seriais são ativadas para uma instância, permitindo conexões com o console serial dela.
DISK_CMEK_DISABLED Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.
HTTP_LOAD_BALANCER Uma instância usa um balanceador de carga configurado para usar um proxy HTTP em vez de um proxy HTTPS de destino.
IP_FORWARDING_ENABLED O encaminhamento de IP está ativado nas instâncias.
WEAK_SSL_POLICY Uma instância tem uma política de SSL fraca.
BINARY_AUTHORIZATION_DISABLED A autorização binária está desativada em um cluster do GKE.
CLUSTER_LOGGING_DISABLED A geração de registros não está ativada para um cluster do GKE.
CLUSTER_MONITORING_DISABLED O monitoramento está desativado nos clusters do GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED A criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE.
INTRANODE_VISIBILITY_DISABLED A visibilidade intranós é desativada para um cluster do GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE.
NETWORK_POLICY_DISABLED A política de rede está desativada nos clusters do GKE.
NODEPOOL_SECURE_BOOT_DISABLED A Inicialização segura está desativada para um cluster do GKE.
OVER_PRIVILEGED_ACCOUNT Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.
OVER_PRIVILEGED_SCOPES Uma conta de serviço do nó tem escopos de acesso amplos.
POD_SECURITY_POLICY_DISABLED A PodSecurityPolicy está desativada em um cluster do GKE.
PRIVATE_CLUSTER_DISABLED Um cluster do GKE tem um cluster particular desativado.
WORKLOAD_IDENTITY_DISABLED Um cluster do GKE não está inscrito em um canal de lançamento.
LEGACY_AUTHORIZATION_ENABLED A autorização legada está ativada em clusters do GKE.
NODEPOOL_BOOT_CMEK_DISABLED Os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.
WEB_UI_ENABLED A IU da Web do GKE (painel) está ativada.
AUTO_REPAIR_DISABLED O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED Os nós protegidos do GKE não estão ativados em um cluster
RELEASE_CHANNEL_DISABLED Um cluster do GKE não está inscrito em um canal de lançamento.
BIGQUERY_TABLE_CMEK_DISABLED Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar.
DATASET_CMEK_DISABLED Um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar.
EGRESS_DENY_RULE_NOT_SET Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear tráfego de saída indesejado.
FIREWALL_RULE_LOGGING_DISABLED A geração de registros de regras de firewall está desativada. O registro de regras de firewall precisa estar ativado para que seja possível auditar o acesso à rede.
OPEN_CASSANDRA_PORT um firewall é configurado para ter uma porta aberta do Cassandra que permita acesso genérico;
OPEN_SMTP_PORT Um firewall está configurado para ter uma porta SMTP aberta que permite o acesso genérico.
OPEN_REDIS_PORT Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.
OPEN_POSTGRESQL_PORT Um firewall é configurado para ter uma porta aberta do PostgreSQL que permite acesso genérico.
OPEN_POP3_PORT Um firewall está configurado para ter uma porta POP3 aberta que permite acesso genérico.
OPEN_ORACLEDB_PORT Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico.
OPEN_NETBIOS_PORT Um firewall é configurado para ter uma porta NETBIOS aberta que permita acesso genérico.
OPEN_MYSQL_PORT Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico.
OPEN_MONGODB_PORT Um firewall é configurado para ter uma porta do MONGODB aberta que permita o acesso genérico.
OPEN_MEMCACHED_PORT Um firewall é configurado para ter uma porta MEMCACHED aberta que permita acesso genérico.
OPEN_LDAP_PORT Um firewall está configurado para ter uma porta LDAP aberta que permita acesso genérico.
OPEN_FTP_PORT Um firewall está configurado para ter uma porta FTP aberta que permite acesso genérico.
OPEN_ELASTICSEARCH_PORT Um firewall é configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico.
OPEN_DNS_PORT Um firewall é configurado para ter uma porta DNS aberta que permita acesso genérico.
OPEN_HTTP_PORT Um firewall é configurado para ter uma porta HTTP aberta que permita acesso genérico.
OPEN_DIRECTORY_SERVICES_PORT Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.
OPEN_CISCOSECURE_WEBSM_PORT Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico.
OPEN_RDP_PORT Um firewall é configurado para ter uma porta RDP aberta que permita acesso genérico.
OPEN_TELNET_PORT Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico.
OPEN_FIREWALL Um firewall está configurado para ser aberto ao acesso público.
OPEN_SSH_PORT Um firewall é configurado para ter uma porta SSH aberta que permita acesso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas".
NON_ORG_IAM_MEMBER Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, atualmente, apenas identidades com endereços de e-mail @gmail.com acionam esse detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Um usuário tem o papel "Usuário da conta de serviço" ou "Criador de token da conta de serviço" no nível do projeto, e não em uma conta de serviço específica.
ADMIN_SERVICE_ACCOUNT Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.
SERVICE_ACCOUNT_KEY_NOT_ROTATED uma chave de conta de serviço não é alterada há mais de 90 dias.
USER_MANAGED_SERVICE_ACCOUNT_KEY Um usuário gerencia uma chave de conta de serviço.
PRIMITIVE_ROLES_USED Um usuário tem o papel básico Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não devem ser usados.
KMS_ROLE_SEPARATION A separação de tarefas não é aplicada, e existe um usuário com qualquer um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: criptografador/descriptografador de CryptoKey, criptografador ou descriptografador.
OPEN_GROUP_IAM_MEMBER Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como um principal da política de permissão do IAM.
KMS_KEY_NOT_ROTATED A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser trocadas dentro de um período de 90 dias.
KMS_PROJECT_HAS_OWNER Um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas.
TOO_MANY_KMS_USERS Há mais de três usuários de chaves criptográficas.
OBJECT_VERSIONING_DISABLED O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.
LOCKED_RETENTION_POLICY_NOT_SET Uma política de retenção bloqueada não está definida para os registros.
BUCKET_LOGGING_DISABLED Há um bucket de armazenamento sem a geração de registros ativada.
LOG_NOT_EXPORTED Um recurso não tem um coletor de registros apropriado configurado.
AUDIT_LOGGING_DISABLED A geração de registros de auditoria foi desativada para este recurso.
MFA_NOT_ENFORCED Há usuários que não estão usando a verificação em duas etapas.
ROUTE_NOT_MONITORED Alertas e métricas de registro não estão configurados para monitorar alterações de rota da rede VPC.
OWNER_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.
AUDIT_CONFIG_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar as alterações na configuração de auditoria.
BUCKET_IAM_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar as alterações de função personalizada.
FIREWALL_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar alterações de regras do firewall da rede de nuvem privada virtual (VPC).
NETWORK_NOT_MONITORED Alertas e métricas de registro não estão configurados para monitorar alterações de rede VPC.
SQL_INSTANCE_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar alterações na configuração da instância do Cloud SQL.
DEFAULT_NETWORK A rede padrão existe em um projeto.
DNS_LOGGING_DISABLED A geração de registros de DNS em uma rede VPC não está ativada.
PUBSUB_CMEK_DISABLED Um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.
PUBLIC_SQL_INSTANCE Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.
SSL_NOT_ENFORCED Uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem o SSL.
AUTO_BACKUP_DISABLED Um banco de dados do Cloud SQL não tem backups automáticos ativados.
SQL_CMEK_DISABLED Uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.
SQL_LOG_CHECKPOINTS_DISABLED A flag de banco de dados "log_checkpoints" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_CONNECTIONS_DISABLED A flag de banco de dados "log_connections" de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_DISCONNECTIONS_DISABLED A flag do banco de dados log_disconnections de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_DURATION_DISABLED A flag de banco de dados "log_duration" de uma instância do Cloud SQL para PostgreSQL não está ativada.
SQL_LOG_LOCK_WAITS_DISABLED A flag de banco de dados "log_lock_waits" de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_STATEMENT A flag de banco de dados "log_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como Ddl (todas as instruções de definição de dados).
SQL_NO_ROOT_PASSWORD Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
SQL_PUBLIC_IP Um banco de dados do Cloud SQL tem um endereço IP público.
SQL_CONTAINED_DATABASE_AUTHENTICATION A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING A flag do banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_MIN_ERROR_STATEMENT A flag do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
SQL_LOG_TEMP_FILES A flag de banco de dados "log_temp_files" de uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED A flag de banco de dados para acesso remoto de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED A flag do banco de dados skip_show_database de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625 A flag de banco de dados (flag de trace) 3625 de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL Um bucket do Cloud Storage é acessível publicamente.
BUCKET_POLICY_ONLY_DISABLED O acesso uniforme no nível do bucket, antes chamado de "Somente a política do bucket", não é configurado.
BUCKET_CMEK_DISABLED Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores.
FLOW_LOGS_DISABLED Há uma sub-rede VPC com registros de fluxo desativados.
PRIVATE_GOOGLE_ACCESS_DISABLED Há sub-redes particulares sem acesso às APIs públicas do Google.
kms_key_region_europe Devido à política da empresa, todas as chaves de criptografia precisam permanecer armazenadas na Europa.
kms_non_euro_region Devido à política da empresa, todas as chaves de criptografia precisam permanecer armazenadas na Europa.
LEGACY_NETWORK Existe uma rede legada em um projeto.
LOAD_BALANCER_LOGGING_DISABLED A geração de registros está desativada para o balanceador de carga.

Descobertas do GCP_SECURITYCENTER_POSTURE_VIOLATION compatíveis

Você pode encontrar o mapeamento da UDM na tabela Referência de mapeamento de campo: POSTURE VIOLATION.

Nome de descoberta Descrição
SECURITY_POSTURE_DRIFT Desvio das políticas definidas na postura de segurança. Isso é detectado pelo serviço de postura de segurança.
SECURITY_POSTURE_POLICY_DRIFT O serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_POLICY_DELETE O serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DRIFT O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DELETE O serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura.

Referência do mapeamento de campo

Esta seção explica como o analisador das Operações de segurança do Google mapeia os campos de registro do Security Command Center para os campos do Modelo de dados unificado (UDM) do Google Security Operations para os conjuntos de dados.

Referência de mapeamento de campo: campos de registro brutos para campos UDM

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as descobertas de detecção de ameaças a eventos do Security Command Center.

Campo RawLog Mapeamento de UDM Lógica
compliances.ids about.labels [compliance_ids] (obsoleto)
compliances.ids additional.fields [compliance_ids]
compliances.version about.labels [compliance_version] (obsoleto)
compliances.version additional.fields [compliance_version]
compliances.standard about.labels [compliances_standard] (obsoleto)
compliances.standard additional.fields [compliances_standard]
connections.destinationIp about.labels [connections_destination_ip] (obsoleto) Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo UDM about.labels.value.
connections.destinationIp additional.fields [connections_destination_ip] Se o valor do campo de registro connections.destinationIp não for igual a sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo de UDM additional.fields.value.string_value.
connections.destinationPort about.labels [connections_destination_port] (obsoleto)
connections.destinationPort additional.fields [connections_destination_port]
connections.protocol about.labels [connections_protocol] (obsoleto)
connections.protocol additional.fields [connections_protocol]
connections.sourceIp about.labels [connections_source_ip] (obsoleto)
connections.sourceIp additional.fields [connections_source_ip]
connections.sourcePort about.labels [connections_source_port] (obsoleto)
connections.sourcePort additional.fields [connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type Se o valor do campo de registro message corresponder ao padrão de expressão regular kubernetes, o campo UDM target.resource_ancestors.resource_type será definido como CLUSTER.
Caso contrário, se o valor do campo de registro message corresponder à expressão regular kubernetes.*?pods, o campo UDM target.resource_ancestors.resource_type será definido como POD.
about.resource.attribute.cloud.environment O campo UDM about.resource.attribute.cloud.environment está definido como GOOGLE_CLOUD_PLATFORM.
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.pods.containers.createTime target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked ou Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo do UDM extension.auth.type será definido como SSO.
extension.mechanism Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de UDM extension.mechanism será definido como USERNAME_PASSWORD.
extensions.auth.type Se o valor do campo de registro principal.user.user_authentication_status for igual a ACTIVE, o campo UDM extensions.auth.type será definido como SSO.
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto)
vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto)
vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto)
vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto)
vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto)
vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto)
vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto)
vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto)
vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto)
vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto)
vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de registro sourceProperties.properties.loadBalancerName será mapeado para o campo de UDM intermediary.resource.name.
intermediary.resource.resource_type Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de UDM intermediary.resource.resource_type será definido como BACKEND_SERVICE.
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.

Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo UDM metadata.product_log_id.

Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo UDM metadata.product_log_id.
metadata.product_name O campo de UDM metadata.product_name está definido como Security Command Center.
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name O campo UDM metadata.vendor_name está definido como Google.
network.application_protocol Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de UDM network.application_protocol será definido como DNS.
sourceProperties.properties.indicatorContext.asn network.asn Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.indicatorContext.asn será mapeado para o campo UDM network.asn.
sourceProperties.properties.indicatorContext.carrierName network.carrier_name Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.indicatorContext.carrierName será mapeado para o campo de UDM network.carrier_name.
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.reverseDnsDomain será mapeado para o campo UDM network.dns_domain.
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseClass será mapeado para o campo UDM network.dns.answers.class.
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data Se o valor do campo de registro category corresponder à expressão regular Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseValue será mapeado para o campo de UDM network.dns.answers.data.
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.domainName será mapeado para o campo UDM network.dns.answers.name.
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.ttl será mapeado para o campo UDM network.dns.answers.ttl.
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type Se o valor do campo de registro category for igual a Malware: Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseData.responseType será mapeado para o campo UDM network.dns.answers.type.
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.authAnswer será mapeado para o campo UDM network.dns.authoritative.
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.queryName será mapeado para o campo de UDM network.dns.questions.name.
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.queryType será mapeado para o campo de UDM network.dns.questions.type.
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.responseCode será mapeado para o campo de UDM network.dns.response_code.
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.callerUserAgent será mapeado para o campo de UDM network.http.user_agent.
sourceProperties.properties.callerUserAgent network.http.user_agent Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.callerUserAgent será mapeado para o campo de UDM network.http.user_agent.
access.userAgentFamily network.http.user_agent
finding.access.userAgent network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent será mapeado para o campo UDM network.http.user_agent.
sourceProperties.properties.ipConnection.protocol network.ip_protocol Se o valor do campo de registro category for igual a Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo UDM network.ip_protocol será definido como um dos seguintes valores:
  • ICMP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 1 ou ICMP.
  • IGMP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 2 ou IGMP.
  • TCP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 6 ou TCP.
  • UDP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 17 ou UDP.
  • IP6IN4 quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 41 ou IP6IN4.
  • GRE quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 47 ou GRE.
  • ESP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 50 ou ESP.
  • EIGRP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 88 ou EIGRP.
  • ETHERIP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 97 ou ETHERIP.
  • PIM quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 103 ou PIM.
  • VRRP quando a seguinte condição for atendida:
    • O valor do campo de registro sourceProperties.properties.ipConnection.protocol é igual a 112 ou VRRP.
  • UNKNOWN_IP_PROTOCOL se o valor do campo de registro sourceProperties.properties.ipConnection.protocol for igual a qualquer outro valor.
    sourceProperties.properties.indicatorContext.organizationName network.organization_name Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.organizationName será mapeado para o campo UDM network.organization_name.
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.behaviorPeriod será mapeado para o campo de UDM network.session_duration.
    sourceProperties.properties.sourceIp principal.ip Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.sourceIp será mapeado para o campo de UDM principal.ip.
    sourceProperties.properties.attempts.sourceIp principal.ip Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo UDM principal.ip.
    access.callerIp principal.ip Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control ou access.callerIp ou Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.callerIp será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.changeFromBadIp.ip principal.ip Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy, o campo de registro sourceProperties.properties.changeFromBadIp.ip será mapeado para o campo de UDM principal.ip.
    sourceProperties.properties.dnsContexts.sourceIp principal.ip Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Cryptomining Bad Domain, o campo de registro sourceProperties.properties.dnsContexts.sourceIp será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.ipConnection.srcIp principal.ip Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.srcIp será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, e o valor do campo de registro sourceProperties.properties.ipConnection.srcIp não for igual a sourceProperties.properties.indicatorContext.ipAddress, o campo de registro sourceProperties.properties.indicatorContext.ipAddress será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.anomalousLocation.callerIp principal.ip Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.callerIp será mapeado para o campo UDM principal.ip.
    sourceProperties.properties.scannerDomain principal.labels [sourceProperties_properties_scannerDomain] (obsoleto) Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.scannerDomain será mapeado para o campo de UDM principal.labels.key/value.
    sourceProperties.properties.scannerDomain additional.fields [sourceProperties_properties_scannerDomain] Se o valor do campo de registro category corresponder à expressão regular Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.scannerDomain será mapeado para o campo UDM additional.fields.value.string_value.
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsoleto) Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState será mapeado para os campos principal.labels.key/value e UDM.
    sourceProperties.properties.dataExfiltrationAttempt.jobState additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobState será mapeado para o campo UDM additional.fields.value.string_value.
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.indicatorContext.countryCode será mapeado para o campo UDM principal.location.country_or_region.
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.location será mapeado para o campo de UDM principal.location.country_or_region.
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.job.location será mapeado para o campo UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region Se o valor do campo de registro category for igual a Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier será mapeado para o campo de UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.anomalousLocation.anomalousLocation será mapeado para o campo UDM principal.location.name.
    sourceProperties.properties.ipConnection.srcPort principal.port Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.srcPort será mapeado para o campo UDM principal.port.
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.jobLink será mapeado para o campo de UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.job.jobId será mapeado para o campo UDM principal.process.pid.
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.job.jobId será mapeado para o campo UDM principal.process.pid.
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.srcVpc.subnetworkName será mapeado para o campo de UDM principal.resource_ancestors.attribute.labels.value.
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.srcVpc.projectId será mapeado para o campo de UDM principal.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.vpcName será mapeado para o campo de UDM principal.resource_ancestors.name, e o campo de UDM principal.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Se o valor do campo de registro message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM principal.resource.attribute.labels.key/value.
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name Se o valor do campo de registro sourceProperties.properties.projectId não estiver vazio, o campo de registro sourceProperties.properties.projectId será mapeado para o campo de UDM principal.resource.name.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId será mapeado para o campo UDM principal.resource.name.
    sourceProperties.properties.sourceInstanceDetails principal.resource.name Se o valor do campo de registro category for igual a Malware: Outgoing DoS, o campo de registro sourceProperties.properties.sourceInstanceDetails será mapeado para o campo de UDM principal.resource.name.
    principal.user.account_type Se o valor do campo de registro access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE.

    Caso contrário, se o valor do campo de registro access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo do UDM principal.user.attribute.labels.key será definido como rawUserAgent e o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent será mapeado para o campo do UDM principal.user.attribute.labels.value.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Discovery: Service Account Self-Investigation, o campo de registro sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Evasion: Access from Anonymizing Proxy, o campo de registro sourceProperties.properties.changeFromBadIp.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.userEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.

    Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro sourceProperties.properties.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    access.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control ou Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography, o campo de registro access.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail será mapeado para o campo de UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.vpcViolation.userEmail será mapeado para o campo UDM principal.user.email_addresses.
    sourceProperties.properties.ssoState principal.user.user_authentication_status Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked ou Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, o campo de registro sourceProperties.properties.ssoState será mapeado para o campo de UDM principal.user.user_authentication_status.
    database.userName principal.user.userid Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.userName será mapeado para o campo de UDM principal.user.userid.
    sourceProperties.properties.threatIntelligenceSource security_result.about.application Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.threatIntelligenceSource será mapeado para o campo UDM security_result.about.application.
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.sourceIp será mapeado para o campo UDM security_result.about.ip.
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo de UDM security_result.about.resource.name.

    Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.restrictedResources.resourceName será mapeado para o campo de UDM security_result.about.resource.name e o campo de UDM security_result.about.resource_type será definido como CLOUD_PROJECT.
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.allowedServices.serviceName será mapeado para o campo do UDM security_result.about.resource.name e o campo do UDM security_result.about.resource_type será definido como BACKEND_SERVICE.
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.restrictedServices.serviceName será mapeado para o campo de UDM security_result.about.resource.name, e o campo de UDM security_result.about.resource_type será definido como BACKEND_SERVICE.
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.delta.accessLevels.policyName será mapeado para o campo de UDM security_result.about.resource.name, e o campo de UDM security_result.about.resource_type será definido como ACCESS_POLICY.
    security_result.about.user.attribute.roles.name Se o valor do campo de registro message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name será definido como security.

    Se o valor do campo de registro message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name será definido como Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de UDM security_result.action será definido como BLOCK.

    Se o valor do campo de registro category for igual a Brute Force: SSH, se o valor do campo de registro sourceProperties.properties.attempts.authResult for igual a SUCCESS, o campo UDM security_result.action será definido como BLOCK.

    Caso contrário, o campo UDM security_result.action será definido como BLOCK.
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.restrictedResources.action será mapeado para o campo de UDM security_result.action_details.
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.restrictedServices.action será mapeado para o campo UDM security_result.action_details.
    sourceProperties.properties.delta.allowedServices.action security_result.action_details Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.allowedServices.action será mapeado para o campo UDM security_result.action_details.
    sourceProperties.properties.delta.accessLevels.action security_result.action_details Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.delta.accessLevels.action será mapeado para o campo de UDM security_result.action_details.
    security_result.alert_state Se o valor do campo de registro state for igual a ACTIVE, o campo do UDM security_result.alert_state será definido como ALERTING.

    Caso contrário, o campo do UDM security_result.alert_state será definido como NOT_ALERTING.
    findingClass security_result.catgory_details O campo de registro findingClass - category é mapeado para o campo UDM security_result.catgory_details.
    category security_result.catgory_details O campo de registro findingClass - category é mapeado para o campo UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteInitiator será mapeado para o campo UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteUpdateTimer será mapeado para o campo UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] Se o valor do campo de registro category for igual a Persistence: New User Agent, o campo de registro sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.authResult será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.indicatorType será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_industry será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.customer_name será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.lasthit será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.myVote será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.support_id será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_class_id será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_id será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.tag_name será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.upVotes será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.downVotes será mapeado para o campo de UDM security_result.detection_fields.value.
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo UDM security_result.detection_fields.key será definido como sourceProperties_contextUris_relatedFindingUri_url, e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo UDM security_result.detection_fields.key e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked ou Initial Access: Disabled Password Leak ou Initial Access: Government Based Attack ou Initial Access: Suspicious Login Blocked ou Impair Defenses: Strong Authentication Disabled ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo UDM security_result.detection_fields.key e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo UDM security_result.detection_fields.key/value.
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.public_tag_name será mapeado para o campo de UDM intermediary.labels.key.
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.tags.description será mapeado para o campo UDM intermediary.labels.value.
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] Se o valor do campo de registro category for igual a Malware: Bad IP, o campo de registro sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal será mapeado para o campo UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH, o campo de UDM security_result.priority será definido como HIGH_PRIORITY.

    Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for MEDIUM, o campo UDM security_result.priority será definido como MEDIUM_PRIORITY.

    Caso contrário, se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW, o campo UDM security_result.priority será definido como LOW_PRIORITY.
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary Se o valor do campo de registro category for igual a Exfiltration: BigQuery Exfiltration, o campo de registro sourceProperties.properties.vpcViolation.violationReason será mapeado para o campo de UDM security_result.summary.
    name security_result.url_back_to_product
    database.query src.process.command_line Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.query será mapeado para o campo de UDM src.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentDisplayName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.projectDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.value.
    parent src.resource_ancestors.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro parent será mapeado para o campo de UDM src.resource_ancestors.name.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId será mapeado para o campo de UDM src.resource_ancestors.name, e o campo de UDM src.resource_ancestors.resource_type será definido como TABLE.
    resourceName src.resource_ancestors.name Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro resourceName será mapeado para o campo de UDM src.resource_ancestors.name.
    resource.folders.resourceFolder src.resource_ancestors.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolder será mapeado para o campo de UDM src.resource_ancestors.name.
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.projectNumber será mapeado para o campo de UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.sourceId.organizationNumber será mapeado para o campo UDM src.resource_ancestors.product_object_id.
    resource.type src.resource_ancestors.resource_subtype Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.displayName será mapeado para o campo UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de UDM src.resource.attribute.labels.key será definido como grantees e o campo de registro database.grantees será mapeado para o campo de UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo UDM src.resource.attribute.labels.value.
    resource.displayName principal.hostname Se o valor do campo de registro resource.type corresponder ao padrão de expressão regular (?i)google.compute.Instance or google.container.Cluster, o campo de registro resource.displayName será mapeado para o campo de UDM principal.hostname.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.datasetId será mapeado para o campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.projectId será mapeado para o campo de UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.resourceUri será mapeado para o campo UDM src.resource.attribute.labels.value.
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.backupId será mapeado para o campo UDM src.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro src.resource.attribute.labels.key/value será mapeado para o campo de UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.sources.name será mapeado para o campo UDM src.resource.name e o campo de registro resourceName será mapeado para o campo UDM src.resource_ancestors.name.
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo de UDM src.resource.name, e o campo de UDM src.resource.resource_subtype será definido como CloudSQL.
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource será mapeado para o campo UDM src.resource.name e o campo UDM src.resource.resource_subtype será definido como CloudSQL.

    Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.cloudsqlInstanceResource será mapeado para o campo UDM src.resource.name e o campo UDM src.resource.resource_subtype será definido como CloudSQL.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.sources.name será mapeado para o campo de UDM src.resource.name, e o campo de registro resourceName será mapeado para o campo do UDM src.resource_ancestors.name.
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.sourceTable.tableId será mapeado para o campo de UDM src.resource.product_object_id.
    access.serviceName target.application Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control ou Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: CloudSQL Restore Backup to External Organization ou Exfiltration: CloudSQL Over-Privileged Grant ou Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.serviceName será mapeado para o campo UDM target.application.
    sourceProperties.properties.serviceName target.application Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.serviceName será mapeado para o campo de UDM target.application.
    sourceProperties.properties.domainName target.domain.name Se o valor do campo de registro category for igual a Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.domainName será mapeado para o campo UDM target.domain.name.
    sourceProperties.properties.domains.0 target.domain.name Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.domains.0 será mapeado para o campo de UDM target.domain.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action será mapeado para o campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action será mapeado para o campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member será mapeado para o campo de UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member será mapeado para o campo UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin será mapeado para o campo UDM target.group.attribute.permissions.name.
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.permissions será mapeado para o campo UDM target.group.attribute.permissions.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName será mapeado para o campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role será mapeado para o campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role será mapeado para o campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName será mapeado para o campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name Se o valor do campo de registro category for igual a Persistence: IAM Anomalous Grant, o campo de registro sourceProperties.properties.customRoleSensitivePermissions.roleName será mapeado para o campo de UDM target.group.attribute.roles.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName será mapeado para o campo UDM target.group.group_display_name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.groupName será mapeado para o campo de UDM target.group.group_display_name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name Se o valor do campo de registro category for igual a Credential Access: Sensitive Role Granted To Hybrid Group, o campo de registro sourceProperties.properties.sensitiveRoleToHybridGroup.groupName será mapeado para o campo de UDM target.group.group_display_name.
    sourceProperties.properties.ipConnection.destIp target.ip Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.destIp será mapeado para o campo UDM target.ip.
    access.methodName target.labels [access_methodName] (obsoleto)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsoleto)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsoleto)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsoleto)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsoleto)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsoleto)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsoleto)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsoleto)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsoleto)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsoleto)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsoleto)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsoleto)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsoleto)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsoleto)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels [sourceProperties_properties_methodName] (obsoleto) Se o valor do campo de registro category for igual a Impair Defenses: Strong Authentication Disabled ou Initial Access: Government Based Attack ou Initial Access: Suspicious Login Blocked ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.methodName será mapeado para o campo UDM target.labels.value.
    sourceProperties.properties.methodName additional.fields [sourceProperties_properties_methodName] Se o valor do campo de registro category for igual a Impair Defenses: Strong Authentication Disabled ou Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.properties.methodName será mapeado para o campo de UDM additional.fields.value.string_value.
    sourceProperties.properties.network.location target.location.name Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.network.location será mapeado para o campo de UDM target.location.name.
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Outgoing DoS, o campo de registro sourceProperties.properties.ipConnection.destPort será mapeado para o campo UDM target.port.
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.query será mapeado para o campo UDM target.process.command_line.
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] O campo de registro containers.labels.name é mapeado para o campo do UDM target.resource_ancestors.attribute.labels.key, e o campo de registro containers.labels.value é mapeado para o campo do UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.projectId será mapeado para o campo UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP, o campo de registro sourceProperties.properties.destVpc.subnetworkName será mapeado para o campo UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.network.subnetworkName será mapeado para o campo UDM target.resource_ancestors.value.
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] Se o valor do campo de registro category for igual a Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.properties.network.subnetworkId será mapeado para o campo de UDM target.resource_ancestors.value.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    resourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.projectId target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    parent target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    containers.name target.resource_ancestors.name Se o valor do campo de registro category for igual a Malware: Cryptomining Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.destVpc.vpcName será associado ao campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será associado ao campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VPC_NETWORK.

    Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, o campo de registro sourceProperties.properties.vpcName será associado ao campo do UDM target.resource_ancestors.name, o campo de registro sourceProperties.properties.vpc.vpcName será associado ao campo do UDM target.resource_ancestors.name e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.

    Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será associado ao campo do UDM target.resource_ancestors.name.

    Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será associado ao campo do UDM target.resource_ancestors.name.

    Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será associado ao campo do UDM target.resource_ancestors.name.

    Se o valor do campo de registro category for igual a Increasing Deny Ratio ou Allowed Traffic Spike, o campo de registro resourceName será associado ao campo do UDM target.resource_ancestors.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo de registro sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource será mapeado para o campo de UDM target.resource_ancestors.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name Se o valor do campo de registro category for igual a Credential Access: Privileged Group Opened To Public, o campo de registro sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource será mapeado para o campo UDM target.resource_ancestors.name.
    kubernetes.pods.containers.name target.resource_ancestors.name categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK









    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de registro sourceProperties.properties.gceInstanceId será mapeado para o campo de UDM target.resource_ancestors.product_object_id, e o campo de UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    containers.imageId target.resource_ancestors.product_object_id Se o valor do campo de registro category for igual a Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, o campo de UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.zone será mapeado para o campo UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.

    Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [finding_id].

    Se o valor do campo de registro category for igual a um dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.product_object_id.

    Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo UDM src.resource.attribute.labels.key/value [source_id].

    Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo UDM target.resource.attribute.labels.key/value [finding_id].

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.product_object_id.

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.attribute.labels.key/value [source_id].

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId será mapeado para o campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId será mapeado para o campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri será mapeado para o campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo do UDM target.resource.attribute.labels.key será definido como exportScope e o campo de registro sourceProperties.properties.exportToGcs.exportScope será mapeado para o campo do UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.objectName será mapeado para o campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.originalUri será mapeado para o campo de UDM target.resource.attribute.labels.value.
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] Se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.metadataKeyOperation será mapeado para o campo de UDM target.resource.attribute.labels.key/value.
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.targets.components será mapeado para o campo UDM target.resource.attribute.labels.key/value.
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketAccess será mapeado para o campo UDM target.resource.attribute.permissions.name.
    sourceProperties.properties.name target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    resourceName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.attempts.vmName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceDetails target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    exfiltration.targets.name target.resource.name Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.name será mapeado para o campo UDM target.resource.name.

    Caso o valor do campo de registro category seja igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.bucketResource será mapeado para o campo UDM target.resource.name.

    Caso o valor do campo de registro category seja igual a Exfiltration: CloudSQL Restore Backup to External Organization, o campo de registro sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource será mapeado para o campo UDM target.resource.name.

    Caso o valor do campo de registro category seja igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.vmName será mapeado para o campo UDM target.resource.name e o campo de registro resourceName será mapeado para o campo UDM target.resource_ancestors.name.

    Caso o valor do campo de registro category seja igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP ou Malware: Cryptomining Bad Domain ou Configurable Bad Domain, o campo de registro sourceProperties.properties.instanceDetails será mapeado para o campo UDM target.resource.name e o campo de registro resourceName será mapeado para o campo UDM target.resource_ancestors.name e o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.

    Caso o valor do campo de registro category seja igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo UDM target.resource.attribute.name e o campo de registro exfiltration.target.name será mapeado para o campo UDM target.resource.name.

    Caso o valor do campo de registro category seja igual a Exfiltration: BigQuery Data Exfiltration, o campo de registro exfiltration.target.name será mapeado para o campo UDM target.resource.name e o campo de registro sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId será mapeado para o campo UDM target.resource.attribute.labels e o campo UDM target.resource.resource_type será definido como TABLE.

    Caso contrário, o campo de registro resourceName será mapeado para o campo UDM target.resource.name.
    sourceProperties.properties.instanceId target.resource.product_object_id Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.instanceId será mapeado para o campo de UDM target.resource.product_object_id.
    kubernetes.pods.containers.imageId target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionName será mapeado para o campo UDM target.resource.resource_subtype.

    Se o valor do campo de registro category for igual a Credential Access: External Member Added To Privileged Group, o campo UDM target.resource.resource_subtype será definido como Privileged Group.

    Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo UDM target.resource.resource_subtype será definido como BigQuery.
    target.resource.resource_type Se o valor do campo de registro sourceProperties.properties.extractionAttempt.destinations.collectionType corresponder à expressão regular BUCKET, o campo UDM target.resource.resource_type será definido como STORAGE_BUCKET.

    Se o valor do campo de registro category for igual a Brute Force: SSH, o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.

    Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.

    Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration, o campo UDM target.resource.resource_type será definido como TABLE.
    sourceProperties.properties.extractionAttempt.jobLink target.url Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo UDM target.url.

    Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, o campo de registro sourceProperties.properties.extractionAttempt.jobLink será mapeado para o campo UDM target.url.
    sourceProperties.properties.exportToGcs.gcsUri target.url Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration, o campo de registro sourceProperties.properties.exportToGcs.gcsUri será mapeado para o campo UDM target.url.
    sourceProperties.properties.requestUrl target.url Se o valor do campo de registro category for igual a Initial Access: Log4j Compromise Attempt, o campo de registro sourceProperties.properties.requestUrl será mapeado para o campo de UDM target.url.
    sourceProperties.properties.policyLink target.url Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control, o campo de registro sourceProperties.properties.policyLink será mapeado para o campo de UDM target.url.
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] Se o valor do campo de registro category for igual a Persistence: New Geography, o campo de registro sourceProperties.properties.anomalousLocation.notSeenInLast será mapeado para o campo de UDM target.user.attribute.labels.value.
    sourceProperties.properties.attempts.username target.user.userid Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.attempts.username será mapeado para o campo de UDM target.user.userid.

    Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro userid será mapeado para o campo de UDM target.user.userid.
    sourceProperties.properties.principalEmail target.user.userid Se o valor do campo de registro category for igual a Initial Access: Suspicious Login Blocked, o campo de registro userid será mapeado para o campo de UDM target.user.userid.
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels [Environment_Variables_name] (obsoleto)
    sourceProperties.Environment_Variables additional.fields [Environment_Variables_name]
    target.labels [Environment_Variables_val] (obsoleto)
    additional.fields [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsoleto)
    sourceProperties.Process_Creation_Timestamp.nanos additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsoleto)
    sourceProperties.Process_Creation_Timestamp.seconds additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name Se o valor do campo de registro category for igual a Added Binary Executed ou Added Library Loaded, o campo de registro sourceProperties.VM_Instance_Name será mapeado para o campo do UDM target.resource_ancestors.name, e o campo do UDM target.resource_ancestors.resource_type será definido como VIRTUAL_MACHINE.
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name Se o valor do campo de registro category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo de registro sourceProperties.Backend_Service será mapeado para o campo de UDM target.resource.name, e o campo de registro resourceName será mapeado para o campo do UDM target.resource_ancestors.name.
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type Se o valor do campo de registro category for igual a Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, o campo de UDM target.resource.resource_type será definido como BACKEND_SERVICE.

    Se o valor do campo de registro category for igual a Configurable Bad Domain, o campo de UDM target.resource.resource_type será definido como VIRTUAL_MACHINE.
    is_alert Se o valor do campo de registro state for igual a ACTIVE, se o valor do campo mute_is_not_present não for igual a verdadeiro e (o valor do campo de registro mute for igual a UNMUTED ou o valor do campo de registro mute for igual a UNDEFINED), o campo de UDM is_alert será definido como true. Caso contrário, o campo de UDM is_alert será definido como false.
    is_significant Se o valor do campo de registro state for igual a ACTIVE, se o valor do campo mute_is_not_present não for igual a verdadeiro e (o valor do campo de registro mute for igual a UNMUTED ou o valor do campo de registro mute for igual a UNDEFINED), o campo de UDM is_significant será definido como true. Caso contrário, o campo de UDM is_significant será definido como false.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok: extraiu user_id do campo de registro sourceProperties.properties.sensitiveRoleGrant.principalEmail. Em seguida, o campo user_id foi mapeado para o campo do UDM principal.user.userid.
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok: extraiu user_id do campo de registro sourceProperties.properties.customRoleSensitivePermissions.principalEmail. Em seguida, o campo user_id foi mapeado para o campo do UDM principal.user.userid.
    resourceName principal.asset.location.name Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, Grok : extraídos project_name, region, zone_suffix, asset_prod_obj_id do campo de registro resourceName, o campo de registro region será mapeado para o campo de UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName field será mapeado para o campo UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, Grok : extraídos project_name, region, zone_suffix, asset_prod_obj_id do campo de registro resourceName, o campo de registro zone_suffix será mapeado para o campo de UDM principal.asset.attribute.cloud.availability_zone.
    resourceName principal.asset.attribute.labels[project_name] Se o valor do campo de registro parentDisplayName for igual a Virtual Machine Threat Detection, o Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id from resourceName field será mapeado para o campo UDM principal.asset.attribute.labels.value.
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o evento O campo de registro sourceProperties.properties.failedActions.methodName é mapeado para o campo de UDM target.labels.
    additional.fields[failedActions_methodName] sourceProperties.properties.failedActions.methodName Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.methodName será mapeado para o campo UDM additional.fields.
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.serviceName será mapeado para o campo UDM target.labels.
    additional.fields[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o campo de registro sourceProperties.properties.failedActions.serviceName será mapeado para o campo UDM additional.fields.
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o evento O campo de registro sourceProperties.properties.failedActions.attemptTimes é mapeado para o campo de UDM target.labels.
    additional.fields[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o evento O campo de registro sourceProperties.properties.failedActions.attemptTimes é mapeado para o campo de UDM additional.fields.
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o evento Campo de registro sourceProperties.properties.failedActions.lastOccurredTime é mapeado para o campo de UDM target.labels.
    additional.fields[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Se o valor do campo de registro category for igual a Initial Access: Excessive Permission Denied Actions, o evento Campo de registro sourceProperties.properties.failedActions.lastOccurredTime. é mapeado para o campo de UDM additional.fields.

    Referência de mapeamento de campo: identificador de evento para tipo de evento

    Identificador de evento Tipo de evento Categoria de segurança
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED EXPLOIT
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED EXPLORAR
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    As tabelas a seguir contêm tipos de evento de UDM e mapeamento de campos de UDM para o Security Command Center: classes de descoberta VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED e POSTURE_VIOLATION.

    Categoria VULNERABILITY para o tipo de evento da UDM

    A tabela a seguir lista a categoria VULNERABILITY e os tipos de eventos do UDM correspondentes.

    Identificador de evento Tipo de evento Categoria de segurança
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK EXPLOIT
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED
    SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS

    Categoria "MISCONFIGURATION" para o tipo de evento da UDM

    A tabela a seguir lista a categoria MISCONFIGURATION e os tipos de eventos do UDM correspondentes.

    Identificador de evento Tipo de evento
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    Categoria OBSERVAÇÃO para o tipo de evento da UDM

    A tabela a seguir lista a categoria OBSERVATION e os tipos de evento de UDM correspondentes.

    Identificador de evento Tipo de evento
    Persistência: chave SSH do projeto adicionada SETTING_MODIFICATION
    Persistência: adicionar papel sensível RESOURCE_PERMISSIONS_CHANGE
    Impacto: instância de GPU criada USER_RESOURCE_CREATION
    Impacto: muitas instâncias criadas USER_RESOURCE_CREATION

    Categoria ERROR para o tipo de evento de UDM

    A tabela a seguir lista a categoria ERROR e os tipos de evento do UDM correspondentes.

    Identificador de evento Tipo de evento
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    Categoria UNSPECIFIED para tipo de evento de UDM

    A tabela a seguir lista a categoria UNSPECIFIED e os tipos de evento de UDM correspondentes.

    Identificador de evento Tipo de evento Categoria de segurança
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    POSTURE_VIOLATION para o tipo de evento de UDM

    A tabela a seguir lista a categoria POSTURE_VIOLATION e os tipos de eventos do UDM correspondentes.

    Identificador de evento Tipo de evento
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    Referência de mapeamento de campo: VULNERABILITY

    A tabela a seguir lista os campos de registro da categoria VULNERABILITY e os campos de UDM correspondentes.

    Campo RawLog Mapeamento de UDM Lógica
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [nome_da_origem]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    categoria extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name region extraído de resourceName usando um padrão Grok e mapeado para o campo de UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id asset_prod_obj_id extraído de resourceName usando um padrão Grok e mapeado para o campo de UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Extraiu zone_suffix de resourceName usando um padrão Grok e mapeou para o campo UDM principal.asset.attribute.cloud.availability_zone.
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[ação]

    Referência de mapeamento de campo: MISCONFIGURATION

    A tabela a seguir lista os campos de registro da categoria MISCONFIGURATION e seus campos de UDM correspondentes.

    Campo RawLog Mapeamento de UDM
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    Referência de mapeamento de campo: OBSERVAÇÃO

    A tabela a seguir lista os campos de registro da categoria OBSERVAÇÃO e seus campos de UDM correspondentes.

    Campo RawLog Mapeamento de UDM
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [nome_de_exibição_do_recurso]
    assetId target.asset.asset_id

    Referência de mapeamento de campo: ERROR

    A tabela a seguir lista os campos de registro da categoria ERROR e os campos correspondentes do UDM.

    Campo RawLog Mapeamento de UDM
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Referência de mapeamento de campo: UNSPECIFIED

    A tabela a seguir lista os campos de registro da categoria UNSPECIFIED e seus campos de UDM correspondentes.

    Campo RawLog Mapeamento de UDM
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Referência de mapeamento de campo: POSTURE_VIOLATION

    A tabela a seguir lista os campos de registro da categoria POSTURE_VIOLATION e seus campos de UDM correspondentes.

    Campo de registro Mapeamento de UDM Lógica
    finding.resourceName target.resource_ancestors.name Se o valor do campo de registro finding.resourceName não estiver vazio, o campo de registro finding.resourceName será mapeado para o campo UDM target.resource.name.

    O campo project_name é extraído do campo de registro finding.resourceName usando o padrão Grok.

    Se o valor do campo project_name não estiver vazio, ele será mapeado para o campo UDM target.resource_ancestors.name.
    resourceName target.resource_ancestors.name Se o valor do campo de registro resourceName não estiver vazio, o campo de registro resourceName será mapeado para o campo UDM target.resource.name.

    O campo project_name é extraído do campo de registro resourceName usando o padrão Grok.

    Se o valor do campo project_name não estiver vazio, o campo project_name será mapeado para o campo UDM target.resource_ancestors.name.
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment Se o valor do campo de registro finding.cloudProvider contiver um dos valores a seguir, o campo de registro finding.cloudProvider será mapeado para o campo UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    cloudProvider about.resource.attribute.cloud.environment Se o valor do campo de registro cloudProvider tiver um dos valores a seguir, o campo de registro cloudProvider será mapeado para o campo de UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.cloudProvider target.resource.attribute.cloud.environment Se o valor do campo de registro resource.cloudProvider tiver um dos valores a seguir, o campo de registro resource.cloudProvider será mapeado para o campo de UDM target.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    Campos comuns: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

    A tabela a seguir lista campos comuns do SECURITY COMMAND CENTER: categorias VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION e TOXIC_COMBINATION e os campos correspondentes do UDM.

    Campo RawLog Mapeamento de UDM Lógica
    compliances.ids about.labels [compliance_ids] (obsoleto)
    compliances.ids additional.fields [compliance_ids]
    compliances.version about.labels [compliance_version] (obsoleto)
    compliances.version additional.fields [compliance_version]
    compliances.standard about.labels [compliances_standard] (obsoleto)
    compliances.standard additional.fields [compliances_standard]
    connections.destinationIp about.labels [connections_destination_ip] (obsoleto) Se o valor do campo de registro connections.destinationIp não for igual ao sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo UDM about.labels.value.
    connections.destinationIp additional.fields [connections_destination_ip] Se o valor do campo de registro connections.destinationIp não for igual a sourceProperties.properties.ipConnection.destIp, o campo de registro connections.destinationIp será mapeado para o campo de UDM additional.fields.value.
    connections.destinationPort about.labels [connections_destination_port] (obsoleto)
    connections.destinationPort additional.fields [connections_destination_port]
    connections.protocol about.labels [connections_protocol] (obsoleto)
    connections.protocol additional.fields [connections_protocol]
    connections.sourceIp about.labels [connections_source_ip] (obsoleto)
    connections.sourceIp additional.fields [connections_source_ip]
    connections.sourcePort about.labels [connections_source_port] (obsoleto)
    connections.sourcePort additional.fields [connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type O campo UDM target.resource_ancestors.resource_type está definido como CLUSTER.
    about.resource.attribute.cloud.environment O campo UDM about.resource.attribute.cloud.environment está definido como GOOGLE_CLOUD_PLATFORM.
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsoleto)
    vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsoleto)
    vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsoleto)
    vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsoleto)
    vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsoleto)
    vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsoleto)
    vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsoleto)
    vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsoleto)
    vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsoleto)
    vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsoleto)
    vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    vulnerability.cve.impact extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]
    vulnerability.cve.exploitationActivity extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Se o valor do campo de registro canonicalName não estiver vazio, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok.

    Se o valor do campo de registro finding_id estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo UDM metadata.product_log_id.

    Se o valor do campo de registro canonicalName estiver vazio, o campo de registro sourceProperties.evidence.sourceLogId.insertId será mapeado para o campo UDM metadata.product_log_id.
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Se o valor do campo de registro message corresponder à expressão regular sourceProperties.sourceId.*?customerOrganizationNumber, o campo de registro sourceProperties.sourceId.customerOrganizationNumber será mapeado para o campo UDM principal.resource.attribute.labels.value.
    resource.projectName principal.resource.name
    principal.user.account_type Se o valor do campo de registro access.principalSubject corresponder à expressão regular serviceAccount, o campo UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE.

    Caso contrário, se o valor do campo de registro access.principalSubject corresponder à expressão regular user, o campo UDM principal.user.account_type será definido como CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name Se o valor do campo de registro message corresponder à expressão regular contacts.?security, o campo UDM security_result.about.user.attribute.roles.name será definido como security.

    Se o valor do campo de registro message corresponder à expressão regular contacts.?technical, o campo UDM security_result.about.user.attribute.roles.name será definido como Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state Se o valor do campo de registro state for igual a ACTIVE, o campo do UDM security_result.alert_state será definido como ALERTING.

    Caso contrário, o campo do UDM security_result.alert_state será definido como NOT_ALERTING.
    findingClass, category security_result.catgory_details O campo de registro findingClass - category é mapeado para o campo de UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteInitiator será mapeado para o campo UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Se o valor do campo de registro mute for igual a MUTED ou UNMUTED, o campo de registro muteUpdateTimer será mapeado para o campo de UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Se o valor do campo de registro category for igual a Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, o campo UDM security_result.detection_fields.key será definido como sourceProperties_contextUris_relatedFindingUri_url, e o campo de registro sourceProperties.contextUris.relatedFindingUri.url será mapeado para o campo UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Se o valor do campo de registro category for igual a Malware: Bad Domain ou Malware: Bad IP ou Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName será mapeado para o campo UDM security_result.detection_fields.key e o campo de registro sourceProperties.contextUris.virustotalIndicatorQueryUri.url será mapeado para o campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Se o valor do campo de registro category for igual a Initial Access: Account Disabled Hijacked ou Initial Access: Disabled Password Leak ou Initial Access: Government Based Attack ou Initial Access: Suspicious Login Blocked ou Impair Defenses: Strong Authentication Disabled ou Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, o campo de registro sourceProperties.contextUris.workspacesUri.displayName será mapeado para o campo UDM security_result.detection_fields.key e o campo de registro sourceProperties.contextUris.workspacesUri.url será mapeado para o campo UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Se o valor do campo de registro sourceProperties.detectionPriority for igual a HIGH, o campo do UDM security_result.priority será definido como HIGH_PRIORITY.

    Se o valor do campo de registro sourceProperties.detectionPriority for igual a MEDIUM, o campo do UDM security_result.priority será definido como MEDIUM_PRIORITY.

    Se o valor do campo de registro sourceProperties.detectionPriority for igual a LOW, o campo do UDM security_result.priority será definido como LOW_PRIORITY.
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.query será mapeado para o campo de UDM src.process.command_line.

    Caso contrário, o campo de registro database.query será mapeado para o campo de UDM target.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.value.

    Caso contrário, o campo de registro resource.folders.resourceFolderDisplayName será mapeado para o campo UDM target.resource.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentDisplayName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.

    Caso contrário, o campo de registro resource.parentDisplayName será mapeado para o campo UDM target.resource.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.parentName será mapeado para o campo UDM src.resource_ancestors.attribute.labels.key/value.

    Caso contrário, o campo de registro resource.parentName será mapeado para o campo UDM target.resource.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.projectDisplayName será mapeado para o campo de UDM src.resource_ancestors.attribute.labels.key/value.

    Caso contrário, o campo de registro resource.projectDisplayName será mapeado para o campo de UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo de registro database.displayName será mapeado para o campo UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Over-Privileged Grant, o campo do UDM src.resource.attribute.labels.key será definido como grantees e o campo de registro database.grantees será mapeado para o campo do UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value.

    Caso contrário, o campo de registro resource.displayName será mapeado para o campo de UDM target.resource.attribute.labels.value.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value.

    Caso contrário, o campo de registro resource.display_name será mapeado para o campo de UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.type será mapeado para o campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.displayName será mapeado para o campo de UDM src.resource.attribute.labels.value.

    Caso contrário, o campo de registro resource.displayName será mapeado para o campo de UDM target.resource.attribute.labels.value.
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, o campo de registro resource.display_name será mapeado para o campo de UDM src.resource.attribute.labels.value.

    Caso contrário, o campo de registro resource.display_name será mapeado para o campo de UDM target.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.sources.components será mapeado para o campo UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Se o valor do campo de registro category for igual a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, o campo de registro resourceName será mapeado para o campo de UDM src.resource.name.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application Se o valor do campo de registro category for igual a Defense Evasion: Modify VPC Service Control ou Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive ou Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: CloudSQL Restore Backup to External Organization ou Exfiltration: CloudSQL Over-Privileged Grant ou Persistence: New Geography ou Persistence: IAM Anomalous Grant, o campo de registro access.serviceName será mapeado para o campo UDM target.application.
    access.methodName target.labels [access_methodName] (obsoleto)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsoleto)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsoleto)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsoleto)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsoleto)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsoleto)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsoleto)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsoleto)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsoleto)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsoleto)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsoleto)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsoleto)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsoleto)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsoleto)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name Se o valor do campo de registro category for igual a Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, o campo de registro resourceName será mapeado para o campo de UDM target.resource_ancestors.name.

    Caso contrário, se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro resourceName será mapeado para o campo de UDM target.resource_ancestors.name.

    Caso contrário, se o valor do campo de registro category for igual a Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, o campo de registro sourceProperties.properties.projectId será mapeado para o campo UDM target.resource_ancestors.name.
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Se o valor do campo de registro category for igual a Brute Force: SSH, o campo de registro sourceProperties.properties.zone será mapeado para o campo de UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id O finding_id é extraído do campo de registro canonicalName usando um padrão Grok.

    Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo de UDM src.resource.attribute.labels.key/value [finding_id].

    Se o valor do campo de registro category for igual a um dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM src.resource.product_object_id.

    Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo UDM src.resource.attribute.labels.key/value [source_id].

    Se o valor do campo de registro category for igual a um dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Se o valor do campo de registro finding_id não estiver vazio, o campo de registro finding_id será mapeado para o campo UDM target.resource.attribute.labels.key/value [finding_id].

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o finding_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo de UDM target.resource.product_object_id.

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Se o valor do campo de registro source_id não estiver vazio, o campo de registro source_id será mapeado para o campo UDM target.resource.attribute.labels.key/value [source_id].

    Se o valor do campo de registro category não for igual a nenhum dos valores a seguir, o source_id será extraído do campo de registro canonicalName usando um padrão Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Se o valor do campo de registro category for igual a Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, o campo de registro exfiltration.targets.components será mapeado para o campo de UDM target.resource.attribute.labels.key/value.
    resourceName
    exfiltration.targets.name
    target.resource.name categorycategorycategorycategoryBrute Force: SSHresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.name







    Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IPtarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RegionCode, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo UDM principal.location.country_or_region.
    sourceProperties.Header_Signature.significantValues.value principal.ip Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RemoteHost, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM principal.ip.
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a UserAgent, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo UDM network.http.user_agent.
    sourceProperties.Header_Signature.significantValues.value principal.url Se o valor do campo de registro sourceProperties.Header_Signature.name for igual a RequestUriPath, o campo de registro sourceProperties.Header_Signature.significantValues.value será mapeado para o campo de UDM principal.url.
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.compromised_account será mapeado para o campo de UDM principal.user.userid, e o campo de UDM principal.user.account_type será definido como SERVICE_ACCOUNT_TYPE.
    sourceProperties.project_identifier principal.resource.product_object_id Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.project_identifier será mapeado para o campo de UDM principal.resource.product_object_id.
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.private_key_identifier será mapeado para o campo de UDM principal.user.attribute.labels.value.
    sourceProperties.action_taken principal.labels [action_taken] (obsoleto) Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.action_taken será mapeado para o campo UDM principal.labels.value.
    sourceProperties.action_taken additional.fields [action_taken] Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.action_taken será mapeado para o campo de UDM additional.fields.value.
    sourceProperties.finding_type principal.labels [finding_type] (obsoleto) Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.finding_type será mapeado para o campo UDM principal.labels.value.
    sourceProperties.finding_type additional.fields [finding_type] Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.finding_type será mapeado para o campo de UDM additional.fields.value.
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.url será mapeado para o campo de UDM principal.user.attribute.labels.value.
    sourceProperties.security_result.summary security_result.summary Se o valor do campo de registro category for igual a account_has_leaked_credentials, o campo de registro sourceProperties.security_result.summary será mapeado para o campo de UDM security_result.summary.
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] vulnerability.offendingPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] vulnerability.offendingPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] vulnerability.offendingPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] vulnerability.offendingPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] vulnerability.fixedPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] vulnerability.fixedPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] vulnerability.fixedPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] vulnerability.fixedPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] vulnerability.securityBulletin.bulletinId
    security_result.detection_fields[vulnerability_securityBulletin_submissionTime] vulnerability.securityBulletin.submissionTime
    security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] vulnerability.securityBulletin.suggestedUpgradeVersion
    target.location.name resource.location
    additional.fields[resource_service] resource.service
    target.resource_ancestors.attribute.labels[kubernetes_object_kind] kubernetes.objects.kind
    target.resource_ancestors.name kubernetes.objects.name
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] kubernetes.objects.ns
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] kubernetes.objects.group

    A seguir