Coletar descobertas do Security Command Center

Neste documento, descrevemos como coletar registros do Security Command Center configurando o serviço e fazendo a ingestão das descobertas no Chronicle. Este documento também lista os eventos compatíveis.

Saiba mais em Ingestão de dados para o Chronicle e Como exportar as descobertas do Security Command Center para o Chronicle. Uma implantação típica consiste no Security Command Center e no feed do Chronicle configurado para enviar registros ao Chronicle. A implantação de cada cliente pode ser diferente e ser mais complexa.

A implantação contém os seguintes componentes:

Google Cloud: o sistema que será monitorado e em que o Security Command Center está instalado.
Descobertas de detecção de ameaças de eventos do Security Command Center: coleta informações da fonte de dados e gera descobertas.
Chronicle: retém e analisa os registros do Security Command Center.

Um rótulo de ingestão identifica o analisador que normaliza os dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador do Security Command Center com os seguintes rótulos de ingestão:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configurar o Security Command Center e o Google Cloud para enviar as descobertas ao Chronicle

Ativar o Security Command Center.
Verifique se todos os sistemas na implantação estão configurados no fuso horário UTC.
Ative a ingestão das descobertas do Security Command Center.

Descobertas compatíveis do Event Threat Detection

Esta seção lista as descobertas suportadas do Event Threat Detection. Para informações sobre as regras e descobertas de detecção de ameaças de eventos do Security Command Center, consulte Regras de detecção de ameaças de eventos.

Nome de descoberta	Descrição
Verificação ativa: Log4j vulnerável a RCE	Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciadas por verificadores de vulnerabilidades do Log4j com suporte.
Força bruta: SSH	Detecção da força bruta do SSH em um host
Acesso às credenciais: participante externo adicionado ao grupo privilegiado	Detecta quando um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). Uma descoberta só será gerada se o grupo ainda não tiver outros participantes externos da mesma organização que o participante recém-adicionado. Para saber mais, consulte Alterações não seguras no Grupo do Google.
Acesso às credenciais: grupo privilegiado aberto para público	Detecta quando um Grupo do Google privilegiado (um grupo com funções ou permissões confidenciais) é alterado para ficar acessível ao público em geral. Para saber mais, consulte Alterações não seguras no Grupo do Google.
Acesso às credenciais: papel confidencial concedido ao grupo híbrido	Detecta quando papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações não seguras no Grupo do Google.
Evasão de defesa: modificar o VPC Service Control	Detecta uma alteração em um perímetro do VPC Service Controls existente que poderia reduzir a proteção oferecida por esse perímetro.
Descoberta: pode receber checkPreview de objetos confidenciais do Kubernetes	Um agente malicioso tentou determinar quais objetos confidenciais do Google Kubernetes Engine (GKE) podem consultar usando o comando kubectl auth can-i get.
Descoberta: autoinvestigação da conta de serviço	Detecção de uma credencial de conta de serviço do Identity and Access Management (IAM) usada para investigar os papéis e as permissões associados a essa mesma conta de serviço.
Evasão: acesso de proxy de anonimização	Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP Tor.
Exfiltração: exfiltração de dados do BigQuery	Detecta os seguintes cenários: Recursos de propriedade da organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência. Tentativas de acessar recursos do BigQuery protegidos pelo VPC Service Control.
Exfiltração: extração de dados do BigQuery	Detecta os seguintes cenários: Por meio de operações de extração, um recurso do BigQuery que pertence à organização protegida é salvo em um bucket do Cloud Storage fora da organização. Por meio de operações de extração, um recurso do BigQuery que pertence à organização protegida é salvo em um bucket do Cloud Storage acessível publicamente que pertence à organização.
Exfiltração: dados do BigQuery para o Google Drive	Detecta os seguintes cenários: Por meio de operações de extração, um recurso do BigQuery que pertence à organização protegida é salvo em uma pasta do Google Drive.
Exfiltração: exfiltração de dados do Cloud SQL	Detecta os seguintes cenários: Dados de instâncias ativas exportados para um bucket do Cloud Storage fora da organização. Dados de instâncias ativas exportados para um bucket do Cloud Storage que pertence à organização e está acessível ao público.
Exfiltração: backup de restauração do Cloud SQL para organização externa	Detecta quando o backup de uma instância do Cloud SQL é restaurado em uma instância fora da organização.
Exfiltração: concessão privilegiada excessiva do Cloud SQL SQL	Detecta quando um usuário ou uma função do Cloud SQL Postgres recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Defesa por danos: autenticação forte desativada	A verificação em duas etapas foi desativada para a organização.
Defesa de danos: verificação em duas etapas desativada	Um usuário desativou a verificação em duas etapas.
Acesso inicial: conta desativada	A conta de um usuário foi suspensa devido a atividade suspeita.
Acesso inicial: vazamento de senha desativado	A conta de um usuário foi desativada porque foi detectado um vazamento de senha.
Acesso inicial: ataque baseado no governo	Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador.
Acesso inicial: tentativa de comprometimento de Log4j	Detecta pesquisas em Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. Essas descobertas têm baixa gravidade, porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento.
Acesso inicial: login suspeito bloqueado	Um login suspeito na conta de um usuário foi detectado e bloqueado.
Malware Log4j: domínio inválido	Detecção de tráfego do Log4j com base em uma conexão ou busca de um domínio conhecido usado em ataques do Log4j.
Malware Log4j: IP inválido	Detecção de tráfego do Log4j com base na conexão com um endereço IP conhecido usado em ataques do Log4j.
Malware: domínio inválido	Detecção de malware com base em uma conexão ou na busca de um domínio malicioso conhecido.
Malware: IP inválido	Detecção de malware com base na conexão com um endereço IP inválido conhecido.
Malware: domínio criptografado de criptomineração	Detecção de mineração de criptomoedas com base em uma conexão ou pesquisa de um domínio de mineração de criptomoedas conhecido.
Malware: criptomoedas com IP inválido	Detecção de mineração de criptomoedas com base em uma conexão com um endereço IP de mineração conhecido.
DoS de saída	Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do Compute Engine	Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do Compute Engine	Detecção de uma modificação no valor do script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: concessão anômala de IAM	Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Esse detector usa as políticas do IAM de uma organização como contexto. Se uma concessão confidencial do IAM a um membro externo ocorrer e houver menos de três políticas do IAM parecidas, esse detector vai gerar uma descoberta.
Persistência: novo MethodPreview da API	Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica	Detecção de contas de serviço e usuários do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes.
Persistência: novo user agent	Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos.
Persistência: alternância de SSO	A configuração Ativar SSO (logon único) na conta de administrador foi desativada.
Persistência: configurações de SSO alteradas	As configurações de SSO da conta de administrador foram alteradas.
Escalação de privilégios: alterações em objetos RBAC confidenciais do KubernetesPreview	Para escalonar o privilégio, um usuário mal-intencionado tentou modificar os objetos ClusterRole e ClusterRoleBinding cluster-admin usando uma solicitação PUT ou PATCH.
Escalação de privilégios: criar uma CSR do Kubernetes para o certPreview mestre	Um agente potencialmente mal-intencionado criou uma solicitação de assinatura de certificado mestre (CSR, na sigla em inglês) do Kubernetes, que concede acesso de administrador do cluster.
Escalação de privilégios: criação de vinculações confidenciais do KubernetesPré-lançamento	Um agente malicioso tentou criar novos objetos RoleBinding ou ClusterRoleBinding cluster-admin para aumentar seu privilégio.
Escalação de privilégios: receber a CSR do Kubernetes com credenciais de inicialização comprometidas	Um agente malicioso consultado por uma solicitação de assinatura de certificado (CSR, na sigla em inglês), com o comando kubectl, usando credenciais de inicialização comprometidas.
Escalonamento de privilégios: lançamento de containerPreview privilegiados do Kubernetes	Um agente malicioso criou pods contendo contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios. Um contêiner privilegiado tem o campo "privileged" definido como "true". Um contêiner com recursos de escalonamento de privilégios tem o campo "allowPrivilegeEscalation" definido como "true".
Acesso inicial: criação de chave em uma conta de serviço inativa	Detecta eventos em que uma chave é criada para uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se ficou inativa por mais de 180 dias.
Árvore de processos	O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector verificará o processo pai. Se o processo pai for um binário que não deve gerar um processo shell, o detector acionará uma descoberta.
Shell filho inesperado	O detector verifica a árvore de processos de todos os processos em execução. Se um processo for um binário de shell, o detector verificará o processo pai. Se o processo pai for um binário que não deve gerar um processo shell, o detector acionará uma descoberta.
Execução: binário malicioso executado	O detector procura um binário sendo executado que não fazia parte da imagem original do contêiner e foi identificado como malicioso com base na inteligência de ameaças.
Execução: binário malicioso modificado, executado	O detector procura um binário sendo executado que foi originalmente incluído na imagem do contêiner, mas modificado durante o tempo de execução, e foi identificado como malicioso com base na inteligência de ameaças.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador	Detecta quando uma solicitação delegada anômala de várias etapas é encontrada para uma atividade administrativa.
Conta de implantação forçada usada: break_window_account	Detecta o uso de uma conta de acesso emergencial (implantação forçada)
Domínio inválido configurável: APT29_Domains	Detecta uma conexão com um nome de domínio especificado
Concessão de papel inesperada: papéis proibidos	Detecta quando um papel especificado é concedido a um usuário
IP inválido configurável	Detecta uma conexão com um endereço IP especificado
Tipo inesperado de instância do Compute Engine	Detecta a criação de instâncias do Compute Engine que não correspondem a um tipo especificado de instância ou configuração.
Imagem de origem inesperada do Compute Engine	Detecta a criação de uma instância do Compute Engine com uma imagem ou família de imagens que não corresponde a uma lista especificada
Região inesperada do Compute Engine	Detecta a criação de uma instância do Compute Engine em uma região que não está em uma lista especificada.
Papel personalizado com permissão proibida	Detecta quando um papel personalizado com qualquer uma das permissões do IAM especificadas é concedido a um principal.
Chamada de API do Cloud inesperada	Detecta quando um principal especificado chama um método determinado em relação a um recurso especificado. Uma descoberta é gerada somente se todas as expressões regulares forem correspondidas em uma única entrada de registro.

Descobertas GCP_SECURITYCENTER_ERROR compatíveis

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: ERRO.

Nome de descoberta	Descrição
VPC_SC_RESTRICTION	A Análise de integridade da segurança não pode produzir determinadas descobertas para um projeto. O projeto é protegido por um perímetro de serviço, e a conta de serviço do Security Command Center não tem acesso ao perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	O projeto configurado para exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar descobertas para o Logging.
API_DISABLED	Uma API necessária está desativada no projeto. O serviço desativado não pode enviar descobertas ao Security Command Center.
KTD_IMAGE_PULL_FAILURE	O Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (download salva) do gcr.io, o host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection exigido pelo Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	O Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão terceirizado está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection. Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	O Container Threat Detection não pode gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE nesse cluster não tem permissões. Isso impede que o Container Threat Detection seja ativado no cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.

Descobertas do GCP_SECURITYCENTER_OBSERVATION compatíveis

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: OBSERVAÇÃO.

Nome de descoberta	Descrição
Persistência: chave SSH do projeto adicionada	Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias.
Persistência: adicionar papel sensível	Um papel do IAM no nível da organização confidencial ou altamente privilegiado foi concedido em uma organização com mais de 10 dias.

Descobertas GCP_SECURITYCENTER_UNSPECIFIED compatíveis

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: UNSPECIFIED.

Nome de descoberta	Descrição
OPEN_FIREWALL	Um firewall está configurado para ser aberto ao acesso público.

Descobertas do GCP_SECURITYCENTER_VULNERABILITY compatíveis

O mapeamento de UDM está disponível na tabela Referência de mapeamento de campo: VULNERABILITY.

Nome de descoberta	Descrição
DISK_CSEK_DISABLED	Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Detector de casos especiais.
ALPHA_CLUSTER_ENABLED	Os recursos do cluster Alfa estão ativados para um cluster do GKE.
AUTO_REPAIR_DISABLED	O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED	O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED	Os nós protegidos do GKE não estão ativados para um cluster
COS_NOT_USED	As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.
INTEGRITY_MONITORING_DISABLED	O monitoramento de integridade está desativado para um cluster do GKE.
IP_ALIAS_DISABLED	Um cluster do GKE foi criado com intervalos de IP de alias desativados.
LEGACY_METADATA_ENABLED	Os metadados legados são ativados nos clusters do GKE.
RELEASE_CHANNEL_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
DATAPROC_IMAGE_OUTDATED	Um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).
PUBLIC_DATASET	Um conjunto de dados é configurado para ser aberto ao acesso público.
DNSSEC_DISABLED	As DNSSEC estão desativadas nas zonas do Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Um papel do Redis IAM é atribuído no nível da organização ou da pasta.
KMS_PUBLIC_KEY	Uma chave criptográfica do Cloud KMS é acessível publicamente.
SQL_CONTAINED_DATABASE_AUTHENTICATION	A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	A flag do banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_EXTERNAL_SCRIPTS_ENABLED	A flag do banco de dados ativada pelos scripts externos para uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE	A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_ERROR_VERBOSITY	A flag do banco de dados log_error_verbosity de uma instância do Cloud SQL para PostgreSQL não está definida como padrão ou mais rigorosa.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	A flag do banco de dados log_min_duration_statement de uma instância do Cloud SQL para PostgreSQL não está definida como "-1".
SQL_LOG_MIN_ERROR_STATEMENT	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.
SQL_LOG_MIN_MESSAGES	A flag do banco de dados log_min_messages para uma instância do Cloud SQL para PostgreSQL não está definida como aviso.
SQL_LOG_EXECUTOR_STATS_ENABLED	A flag do banco de dados log_executor_status de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_HOSTNAME_ENABLED	A flag do banco de dados log_hostname para uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PARSER_STATS_ENABLED	A flag do banco de dados log_parser_stats de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_PLANNER_STATS_ENABLED	A flag do banco de dados log_planner_stats de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_STATEMENT_STATS_ENABLED	A flag do banco de dados log_statement_stats de uma instância do Cloud SQL para PostgreSQL não está desativada.
SQL_LOG_TEMP_FILES	A flag do banco de dados log_temp_files de uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED	A flag do banco de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED	A flag do banco de dados "skip_show_database" de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625	A flag do banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED	A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD	Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
PUBLIC_LOG_BUCKET	buckets de armazenamento usados como coletor de registros podem ser acessados publicamente.
ACCESSIBLE_GIT_REPOSITORY	Um repositório GIT é exposto publicamente. Para resolver essa descoberta, remova o acesso público não intencional ao repositório Git.
ACCESSIBLE_SVN_REPOSITORY	Um repositório SVN é exposto publicamente. Para resolver a descoberta, remova o acesso público não intencional ao repositório SVN.
CACHEABLE_PASSWORD_INPUT	As senhas inseridas no aplicativo da Web podem ser armazenadas em cache em um cache normal de navegador em vez de em um armazenamento de senhas seguro.
CLEAR_TEXT_PASSWORD	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver essa descoberta, criptografe a senha transmitida pela rede.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio, adicione o ponto ao domínio raiz, por exemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, verifique se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.
INVALID_HEADER	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente.
MISMATCHING_SECURITY_HEADER_VALUES	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente.
MISSPELLED_SECURITY_HEADER_NAME	Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver essa descoberta, defina os cabeçalhos de segurança HTTP corretamente.
MIXED_CONTENT	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.
OUTDATED_LIBRARY	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.
SERVER_SIDE_REQUEST_FORGERY	Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP que podem receber solicitações do aplicativo da Web.
SESSION_ID_LEAK	Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de destino acesso ao identificador de sessão, que pode ser usado para falsificar a identidade ou identificar o usuário de maneira exclusiva.
SQL_INJECTION	Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.
STRUTS_INSECURE_DESERIALIZATION	O uso de uma versão vulnerável do Apache Struts foi detectado. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.
XSS	Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário.
XSS_ANGULAR_CALLBACK	Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário processados pela biblioteca Angular.
XSS_ERROR	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver essa descoberta, valide e escape dados não confiáveis fornecidos pelo usuário.
XXE_REFLECTED_FILE_LEAKAGE	Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Essa vulnerabilidade pode fazer com que o aplicativo da Web vaze um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.
BASIC_AUTHENTICATION_ENABLED	O IAM ou a autenticação de certificado do cliente precisa estar ativada nos clusters do Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Os clusters do Kubernetes precisam ser criados com o certificado do cliente ativado.
LABELS_NOT_USED	Rótulos podem ser usados para decompor informações de faturamento
PUBLIC_STORAGE_OBJECT	A ACL do objeto de armazenamento não deve conceder acesso a allUsers.
SQL_BROAD_ROOT_LOGIN	O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados
WEAK_CREDENTIALS	Esse detector verifica se há credenciais fracas usando métodos de força bruta ncrack. Serviços compatíveis: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	A API Elasticsearch permite que os autores das chamadas executem consultas arbitrárias, gravem e executem scripts e adicionem outros documentos ao serviço.
EXPOSED_GRAFANA_ENDPOINT	No Grafana 8.0.0 a 8.3.0, sem autenticação, os usuários podem acessar um endpoint com uma vulnerabilidade de travessia de diretórios que permite que qualquer usuário leia qualquer arquivo do servidor sem autenticação. Para mais informações, consulte CVE-2021-43798 (em inglês).
EXPOSED_METABASE	As versões x.40.0 a x.40.4 do Metabase, uma plataforma de análise de dados de código aberto, contêm uma vulnerabilidade na compatibilidade com mapas GeoJSON personalizados e possível inclusão de arquivos locais, incluindo variáveis de ambiente. Os URLs não foram validados antes do carregamento. Para mais informações, consulte CVE-2021-41277 (em inglês).
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Esse detector verifica se os endpoints confidenciais do Actuator dos aplicativos Spring Boot estão expostos. Alguns dos endpoints padrão, como /heapdump, podem expor informações sensíveis. Outros endpoints, como /env, podem levar à execução remota de código. No momento, apenas a opção /heapdump é marcada.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Esse detector verifica se a API Hadoop Yarn ResourceManager, que controla os recursos de computação e armazenamento de um cluster do Hadoop, está exposta e permite a execução de código não autenticado.
JAVA_JMX_RMI_EXPOSED	A Java Management Extension (JMX) permite monitoramento e diagnóstico remotos para aplicativos Java. A execução do JMX com o endpoint de invocação de método remoto desprotegido permite que qualquer usuário remoto crie um javax.management.loading.MLet MBean e o use para criar novos MBeans a partir de URLs arbitrários.
JUPYTER_NOTEBOOK_EXPOSED_UI	Esse detector verifica se um Notebook do Jupyter não autenticado está exposto. O Jupyter permite a execução remota de código no design na máquina host. Um Notebook do Jupyter não autenticado coloca a VM de hospedagem em risco de execução remota do código.
KUBERNETES_API_EXPOSED	A API Kubernetes está exposta e pode ser acessada por autores de chamadas não autenticados. Isso permite a execução arbitrária de código no cluster do Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Esse detector verifica se uma instalação do WordPress está inacabada. Uma instalação inacabada do WordPress expõe a página /wp-admin/install.php, que permite que o invasor defina a senha do administrador e, possivelmente, comprometa o sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Este detector verifica se há uma instância não autenticada do Jenkins enviando um ping de sondagem para o endpoint /view/all/newJob como um visitante anônimo. Uma instância autenticada do Jenkins mostra o formulário createItem, que permite a criação de jobs arbitrários que podem levar à execução remota do código.
APACHE_HTTPD_RCE	Foi encontrada uma falha no Apache HTTP Server 2.4.49 que permite que um invasor use um ataque de travessia de caminhos para mapear URLs para arquivos fora da raiz do documento esperado e ver a origem dos arquivos interpretados, como scripts CGI. Esse problema já é explorado na prática. Ele afeta o Apache 2.4.49 e 2.4.50, mas não as versões anteriores. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-41773 Vulnerabilidades do Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Os invasores podem criar um URI para o servidor da Web Apache que faz com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo invasor. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior. Para mais informações sobre essa vulnerabilidade, consulte: Registro CVE-2021-40438 Vulnerabilidades do Apache HTTP Server 2.4
CONSUL_RCE	Os atacantes podem executar código arbitrário em um servidor do Consul porque a instância do Consul é configurada com -enable-script-checks definido como true e a API do Consul HTTP não é segura e pode ser acessada pela rede. No Consul 0.9.0 e anteriores, as verificações de script estão ativadas por padrão. Para mais informações, acesse Como proteger o Consul contra o risco do RCE em configurações específicas (em inglês). Para verificar essa vulnerabilidade, a detecção rápida de vulnerabilidades registra um serviço na instância do Consul usando o endpoint REST /v1/health/service, que executa uma das seguintes ações: * Um comando curl para um servidor remoto fora da rede. Um invasor pode usar o comando curl para exfiltrar dados do servidor. * Um comando printf. A detecção rápida de vulnerabilidades verifica a saída do comando usando o endpoint REST /v1/health/service. * Após a verificação, a detecção rápida de vulnerabilidades limpa e cancela o registro do serviço usando o endpoint REST /v1/agent/service/deregister/.
DRUID_RCE	O Apache Druid inclui a capacidade de executar o código JavaScript fornecido pelo usuário incorporado em vários tipos de solicitações. Essa funcionalidade é destinada ao uso em ambientes de alta confiança e está desativada por padrão. No entanto, no Druid 0.20.0 e em versões anteriores, é possível que um usuário autenticado envie uma solicitação especialmente elaborada que força o Druid a executar o código JavaScript fornecido pelo usuário para essa solicitação, independentemente da configuração do servidor. Ela pode ser aproveitada para executar o código na máquina de destino com os privilégios do processo do servidor Druid. Para mais informações, consulte Detalhes do CVE-2021-25646.
DRUPAL_RCE	As versões do Drupal anteriores à 7.58, 8.x antes da 8.3.9, 8.4.x antes da 8.4.6 e 8.5.x anteriores à 8.5.1 são vulneráveis à execução remota do código nas solicitações AJAX da API Form. As versões 8.5.x anteriores à 8.5.11 e 8.6.x anteriores à 8.6.10 são vulneráveis à execução remota do código quando o módulo do RESTful Web Service ou o JSON:API está ativado. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando uma solicitação POST personalizada.
FLINK_FILE_DISCLOSURE	Uma vulnerabilidade nas versões 1.11.0, 1.11.1 e 1.11.2 do Apache Flink permite que invasores leiam qualquer arquivo no sistema de arquivos local do JobManager por meio da interface REST do processo do JobManager. O acesso é restrito aos arquivos que podem ser acessados pelo processo do JobManager.
GITLAB_RCE	Nas versões 11.9 e mais recentes do GitLab Community Edition (CE) e Enterprise Edition (EE), o GitLab não valida corretamente os arquivos de imagem transmitidos para um analisador de arquivos. Um invasor pode explorar essa vulnerabilidade para a execução de comandos remotos.
GoCD_RCE	No GoCD 21.2.0 e em versões anteriores, há um endpoint que pode ser acessado sem autenticação. Este endpoint tem uma vulnerabilidade de travessia de diretórios que permite que um usuário leia qualquer arquivo no servidor sem autenticação.
JENKINS_RCE	As versões 2.56 e anteriores do Jenkins e o 2.46.1 LTS e anteriores são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser acionada por um invasor não autenticado usando um objeto Java serializado e malicioso.
JOOMLA_RCE	As versões 1.5.x, 2.x e 3.x do Joomla anteriores à 3.4.6 são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com um cabeçalho criado contendo objetos PHP serializados. As versões 3.0.0 a 3.4.6 do Joomla são vulneráveis à execução remota de código. Essa vulnerabilidade pode ser acionada com o envio de uma solicitação POST que contém um objeto PHP serializado.
LOG4J_RCE	No Apache Log4j2 2.14.1 e em versões anteriores, os recursos JNDI usados em configurações, mensagens de registro e parâmetros não protegem contra o LDAP controlado por invasores e outros endpoints relacionados a JNDI. Para mais informações, consulte CVE-2021-44228 (em inglês).
MANTISBT_PRIVILEGE_ESCALATION	O MantisBT até a versão 2.3.0 permite a redefinição de senha arbitrária e o acesso de administrador não autenticado, fornecendo um valor de confirm_hash vazio para o Verify.php.
OGNL_RCE	As instâncias do Confluence Server e do Data Center têm uma vulnerabilidade de injeção de OGNL que permite que um invasor não autenticado execute um código arbitrário. Para mais informações, consulte CVE-2021-26084 (em inglês).
OPENAM_RCE	Os servidores OpenAM 14.6.2 e anteriores e ForgeRock AM 6.5.3 e anteriores têm uma vulnerabilidade de desserialização Java no parâmetro jato.pageSession em várias páginas. A exploração não requer autenticação, e a execução remota do código pode ser acionada com o envio de uma única solicitação /ccversion/* criada para o servidor. A vulnerabilidade existe devido ao uso do aplicativo Sun ONE. Para mais informações, consulte CVE-2021-35464 (em inglês).
ORACLE_WEBLOGIC_RCE	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade facilmente explorável permite que um invasor não autenticado com acesso à rede via HTTP comprometa um servidor Oracle WebLogic Server. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na invasão do Oracle WebLogic Server. Para mais informações, consulte CVE-2020-14882 (em inglês).
PHPUNIT_RCE	As versões de PHPUnit anteriores à versão 5.6.3 permitem a execução remota de código com uma única solicitação POST não autenticada.
PHP_CGI_RCE	As versões do PHP anteriores à 5.3.12 e as versões 5.4.x anteriores à 5.4.2, quando configuradas como um script CGI, permitem a execução remota do código. O código vulnerável não processa corretamente as strings de consulta que não têm um caractere = (sinal de igual). Isso permite que os invasores adicionem opções de linha de comando que são executadas no servidor.
PORTAL_RCE	A desserialização de dados não confiáveis em versões do Liferay Portal anteriores à 7.2.1 CE GA2 permite que invasores remotos executem código arbitrário por serviços da Web JSON.
REDIS_RCE	Se uma instância do Redis não exigir autenticação para executar comandos de administrador, os invasores poderão executar um código arbitrário.
SOLR_FILE_EXPOSED	A autenticação não está ativada no Apache Solr, um servidor de pesquisa de código aberto. Quando o Apache Solr não exige autenticação, um invasor pode criar diretamente uma solicitação para ativar uma configuração específica e, em algum momento, implementar uma falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) ou ler arquivos arbitrários.
SOLR_RCE	As versões 5.0.0 do Apache Solr a 8.3.1 do Apache Solr são vulneráveis à execução remota de código por meio de VelocityResponseWriter se params.resource.loader.enabled for definido como "true". Isso permite que os atacantes criem um parâmetro que contém um modelo Velocity malicioso.
STRUTS_RCE	As versões do Apache Struts anteriores à 2.3.32 e 2.5.x anteriores à 2.5.10.1 são vulneráveis à execução remota de códigos. A vulnerabilidade pode ser acionada por um invasor não autenticado que fornece um cabeçalho Content-Type criado. O plug-in REST nas versões 2.1.1 a 2.3.x do Apache Struts anteriores à 2.3.34 e 2.5.x anteriores à 2.5.13 é vulnerável à execução remota de código durante a desserialização de payloads XML criados. As versões 2.3 a 2.3.34 do Apache Struts e 2.5 a 2.5.16 são vulneráveis à execução remota de código quando AlwaysSelectFullNamespace está definido como true e há outras configurações de ação específicas.
TOMCAT_FILE_DISCLOSURE	As versões 9.x do Apache Tomcat anteriores à 9.0.31, 8.x antes da 8.5.51, 7.x antes da 7.0.100 e todas as 6.x são vulneráveis ao código-fonte e à divulgação da configuração por meio de um conector do protocolo Apache JServ exposto. Em alguns casos, isso é aproveitado para executar a execução remota de código se o upload de arquivos for permitido.
VBULLETIN_RCE	Os servidores vBulletin com as versões 5.0.0 a 5.5.4 são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser explorada por um invasor não autenticado usando um parâmetro de consulta em uma solicitação de routestring.
VCENTER_RCE	As versões 7.x do VMware vCenter Server 7.x anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l e 6.5 anteriores a 6.5 U3n são vulneráveis à execução remota de códigos. Essa vulnerabilidade pode ser acionada quando um invasor faz upload de um arquivo criado com páginas do servidor Java para um diretório acessível pela Web e aciona a execução desse arquivo.
WEBLOGIC_RCE	Certas versões do produto Oracle WebLogic Server do Oracle Fusion Middleware (componente: Console) contêm uma vulnerabilidade de execução remota de código, incluindo as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Essa vulnerabilidade está relacionada às CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Para mais informações, consulte CVE-2020-14883 (em inglês).
OS_VULNERABILITY	O VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.
UNUSED_IAM_ROLE	O recomendador do IAM detectou uma conta de usuário com um papel do IAM que não foi usado nos últimos 90 dias.

Descobertas do GCP_SECURITYCENTER_MISCONFIGURATION compatíveis

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: MISCONFIGURATION.

Nome de descoberta	Descrição
API_KEY_APIS_UNRESTRICTED	Há chaves de API muito usadas. Para resolver esse problema, limite o uso da chave de API para permitir apenas as APIs necessárias para o aplicativo.
API_KEY_APPS_UNRESTRICTED	As chaves de API estão sendo usadas de maneira irrestrita, o que permite o uso por apps não confiáveis
API_KEY_EXISTS	Um projeto está usando chaves de API em vez da autenticação padrão.
API_KEY_NOT_ROTATED	A chave de API não é alternada há mais de 90 dias
PUBLIC_COMPUTE_IMAGE	Uma imagem do Compute Engine é acessível publicamente.
CONFIDENTIAL_COMPUTING_DISABLED	A Computação confidencial está desativada em uma instância do Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto.
COMPUTE_SECURE_BOOT_DISABLED	Esta VM protegida não tem a Inicialização segura ativada. O uso da Inicialização segura ajuda a proteger as instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Uma instância é configurada para usar a conta de serviço padrão.
FULL_API_ACCESS	Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.
OS_LOGIN_DISABLED	O Login do SO está desativado nesta instância.
PUBLIC_IP_ADDRESS	Uma instância tem um endereço IP público.
SHIELDED_VM_DISABLED	A VM protegida está desativada nesta instância.
COMPUTE_SERIAL_PORTS_ENABLED	As portas seriais são ativadas em uma instância, permitindo conexões com o console serial dela.
DISK_CMEK_DISABLED	Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
HTTP_LOAD_BALANCER	Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.
IP_FORWARDING_ENABLED	o encaminhamento de IP é ativado nas instâncias.
WEAK_SSL_POLICY	Uma instância tem uma política de SSL fraca.
BINARY_AUTHORIZATION_DISABLED	A autorização binária está desativada em um cluster do GKE.
CLUSTER_LOGGING_DISABLED	A geração de registros não está ativada para um cluster do GKE.
CLUSTER_MONITORING_DISABLED	O monitoramento está desativado nos clusters do GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	A criptografia de secrets na camada de aplicativos está desativada em um cluster do GKE.
INTRANODE_VISIBILITY_DISABLED	A visibilidade intranós é desativada para um cluster do GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE.
NETWORK_POLICY_DISABLED	A política de rede está desativada nos clusters do GKE.
NODEPOOL_SECURE_BOOT_DISABLED	A Inicialização segura está desativada para um cluster do GKE.
OVER_PRIVILEGED_ACCOUNT	Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.
OVER_PRIVILEGED_SCOPES	Uma conta de serviço do nó tem escopos de acesso amplos.
POD_SECURITY_POLICY_DISABLED	O PodSecurityPolicy está desativado em um cluster do GKE.
PRIVATE_CLUSTER_DISABLED	Um cluster do GKE tem um cluster particular desativado.
WORKLOAD_IDENTITY_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
LEGACY_AUTHORIZATION_ENABLED	A autorização legada está ativada em clusters do GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
WEB_UI_ENABLED	A IU da Web do GKE (painel) está ativada.
AUTO_REPAIR_DISABLED	O recurso de reparo automático de um cluster do GKE, que mantém os nós em um estado íntegro e em execução, está desativado.
AUTO_UPGRADE_DISABLED	O recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.
CLUSTER_SHIELDED_NODES_DISABLED	Os nós protegidos do GKE não estão ativados para um cluster
RELEASE_CHANNEL_DISABLED	Um cluster do GKE não está inscrito em um canal de lançamento.
BIGQUERY_TABLE_CMEK_DISABLED	Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar.
DATASET_CMEK_DISABLED	Um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar.
EGRESS_DENY_RULE_NOT_SET	Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.
FIREWALL_RULE_LOGGING_DISABLED	A geração de registros de regras de firewall está desativada. A geração de registros de regras de firewall deve estar ativada para que seja possível auditar o acesso à rede.
OPEN_CASSANDRA_PORT	Um firewall está configurado para ter uma porta aberta do Cassandra que permite acesso genérico.
OPEN_SMTP_PORT	Um firewall está configurado para ter uma porta SMTP aberta que permite acesso genérico.
OPEN_REDIS_PORT	Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.
OPEN_POSTGRESQL_PORT	Um firewall está configurado para ter uma porta PostgreSQL aberta que permite acesso genérico.
OPEN_POP3_PORT	Um firewall está configurado para ter uma porta POP3 aberta que permite o acesso genérico.
OPEN_ORACLEDB_PORT	Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico.
OPEN_NETBIOS_PORT	Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico.
OPEN_MYSQL_PORT	Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico.
OPEN_MONGODB_PORT	Um firewall está configurado para ter uma porta MONGODB aberta que permite acesso genérico.
OPEN_MEMCACHED_PORT	Um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico.
OPEN_LDAP_PORT	Um firewall está configurado para ter uma porta LDAP aberta que permite o acesso genérico.
OPEN_FTP_PORT	Um firewall está configurado para ter uma porta de FTP aberta que permite acesso genérico.
OPEN_ELASTICSEARCH_PORT	Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permite acesso genérico.
OPEN_DNS_PORT	Um firewall está configurado para ter uma porta DNS aberta que permite o acesso genérico.
OPEN_HTTP_PORT	Um firewall está configurado para ter uma porta HTTP aberta que permite o acesso genérico.
OPEN_DIRECTORY_SERVICES_PORT	Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.
OPEN_CISCOSECURE_WEBSM_PORT	Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico.
OPEN_RDP_PORT	Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico.
OPEN_TELNET_PORT	Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico.
OPEN_FIREWALL	Um firewall está configurado para ser aberto ao acesso público.
OPEN_SSH_PORT	Um firewall está configurado para ter uma porta SSH aberta que permite o acesso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION	Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio da "separação de deveres".
NON_ORG_IAM_MEMBER	Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, no momento, apenas as identidades com endereços de e-mail @gmail.com acionam esse detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, e não para uma conta de serviço específica.
ADMIN_SERVICE_ACCOUNT	Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Uma chave de conta de serviço não é alternada há mais de 90 dias.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Um usuário gerencia uma chave de conta de serviço.
PRIMITIVE_ROLES_USED	Um usuário tem o papel básico: Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não devem ser usados.
KMS_ROLE_SEPARATION	A separação de deveres não é aplicada, e há um usuário com qualquer um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: criptografador/descriptografador de CryptoKey, criptografador ou descriptografador.
OPEN_GROUP_IAM_MEMBER	Uma conta dos Grupos do Google que pode ser associada sem aprovação é usada como um principal da política de permissão do IAM.
KMS_KEY_NOT_ROTATED	A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser rotacionadas dentro de um período de 90 dias.
KMS_PROJECT_HAS_OWNER	Um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas.
TOO_MANY_KMS_USERS	Há mais de três usuários de chaves criptográficas.
OBJECT_VERSIONING_DISABLED	O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.
LOCKED_RETENTION_POLICY_NOT_SET	Uma política de retenção bloqueada não está definida para os registros.
BUCKET_LOGGING_DISABLED	Há um bucket de armazenamento sem a geração de registros ativada.
LOG_NOT_EXPORTED	Há um recurso que não tem um coletor de registros apropriado configurado.
AUDIT_LOGGING_DISABLED	A geração de registros de auditoria foi desativada para este recurso.
MFA_NOT_ENFORCED	Há usuários que não estão usando a verificação em duas etapas.
ROUTE_NOT_MONITORED	As métricas de registro e os alertas não estão configurados para monitorar alterações na rota da rede VPC.
OWNER_NOT_MONITORED	Os alertas e as métricas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.
AUDIT_CONFIG_NOT_MONITORED	As métricas de registro e os alertas não são configurados para monitorar alterações na configuração de auditoria.
BUCKET_IAM_NOT_MONITORED	As métricas de registro e os alertas não são configurados para monitorar alterações de permissão do IAM no Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	As métricas de registro e os alertas não estão configurados para monitorar alterações no papel personalizado.
FIREWALL_NOT_MONITORED	As métricas de registro e os alertas não estão configurados para monitorar as alterações nas regras do firewall de rede da nuvem privada virtual (VPC).
NETWORK_NOT_MONITORED	As métricas de registro e os alertas não estão configurados para monitorar alterações na rede VPC.
SQL_INSTANCE_NOT_MONITORED	As métricas de registro e os alertas não são configurados para monitorar alterações na configuração da instância do Cloud SQL.
DEFAULT_NETWORK	A rede padrão existe em um projeto.
DNS_LOGGING_DISABLED	A geração de registros de DNS em uma rede VPC não está ativada.
PUBSUB_CMEK_DISABLED	Um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
PUBLIC_SQL_INSTANCE	Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.
SSL_NOT_ENFORCED	Uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem SSL.
AUTO_BACKUP_DISABLED	Um banco de dados do Cloud SQL não tem backups automáticos ativados.
SQL_CMEK_DISABLED	Uma instância de banco de dados SQL não é criptografada com chaves gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
SQL_LOG_CHECKPOINTS_DISABLED	A flag do banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_CONNECTIONS_DISABLED	A flag do banco de dados log_connections de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_DISCONNECTIONS_DISABLED	A flag do banco de dados log_disconnections de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_DURATION_DISABLED	A flag do banco de dados log_duration de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_LOCK_WAITS_DISABLED	A flag do banco de dados log_lock_waits de uma instância do Cloud SQL para PostgreSQL não está definida como ativada.
SQL_LOG_STATEMENT	A flag do banco de dados "log_statement" de uma instância do Cloud SQL para PostgreSQL não está definida como "Ddl" (todas as instruções de definição de dados).
SQL_NO_ROOT_PASSWORD	Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
SQL_PUBLIC_IP	Um banco de dados do Cloud SQL tem um endereço IP público.
SQL_CONTAINED_DATABASE_AUTHENTICATION	A flag do banco de dados de autenticação do banco de dados contido em uma instância do Cloud SQL para SQL Server não está desativada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	A flag do banco de dados cross_db_ownership_chaining de uma instância do Cloud SQL para SQL Server não está desativada.
SQL_LOCAL_INFILE	A flag do banco de dados local_infile de uma instância do Cloud SQL para MySQL não está desativada.
SQL_LOG_MIN_ERROR_STATEMENT	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não está definida corretamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	A flag do banco de dados log_min_error_statement de uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.
SQL_LOG_TEMP_FILES	A flag do banco de dados log_temp_files de uma instância do Cloud SQL para PostgreSQL não está definida como "0".
SQL_REMOTE_ACCESS_ENABLED	A flag do banco de dados de acesso remoto para uma instância do Cloud SQL para SQL Server não está desativada.
SQL_SKIP_SHOW_DATABASE_DISABLED	A flag do banco de dados "skip_show_database" de uma instância do Cloud SQL para MySQL não está ativada.
SQL_TRACE_FLAG_3625	A flag do banco de dados 3625 (flag de trace) de uma instância do Cloud SQL para SQL Server não está ativada.
SQL_USER_CONNECTIONS_CONFIGURED	A flag do banco de dados de conexões do usuário para uma instância do Cloud SQL para SQL Server está configurada.
SQL_USER_OPTIONS_CONFIGURED	A flag do banco de dados de opções do usuário para uma instância do Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL	bucket do Cloud Storage são acessíveis publicamente.
BUCKET_POLICY_ONLY_DISABLED	O acesso uniforme no nível do bucket, antes chamado de "Somente a política de bucket", não está configurado.
BUCKET_CMEK_DISABLED	Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ativar. Para mais instruções, consulte Ativar e desativar detectores.
FLOW_LOGS_DISABLED	Há uma sub-rede VPC com registros de fluxo desativados.
PRIVATE_GOOGLE_ACCESS_DISABLED	Há sub-redes particulares sem acesso às APIs públicas do Google.
kms_key_region_europe	Devido à política da empresa, todas as chaves de criptografia devem permanecer armazenadas na Europa.
kms_non_euro_region	Devido à política da empresa, todas as chaves de criptografia devem permanecer armazenadas na Europa.
LEGACY_NETWORK	Existe uma rede legada em um projeto.
LOAD_BALANCER_LOGGING_DISABLED	A geração de registros está desativada para o balanceador de carga.

Descobertas GCP_SECURITYCENTER_POSTURE_VIOLATION compatíveis

Encontre o mapeamento de UDM na tabela Referência de mapeamento de campo: VIOLAÇÃO DE POSTURA.

Nome de descoberta	Descrição
SECURITY_POSTURE_DRIFT	Desviar das políticas definidas dentro da postura de segurança. Isso é detectado pelo serviço de postura de segurança.
SECURITY_POSTURE_POLICY_DRIFT	O serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_POLICY_DELETE	O serviço de postura de segurança detectou que uma política da organização foi excluída. Esta exclusão ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DRIFT	O serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura.
SECURITY_POSTURE_DETECTOR_DELETE	O serviço de postura de segurança detectou que um módulo personalizado da Análise de integridade da segurança foi excluído. Esta exclusão ocorreu fora de uma atualização de postura.

Referência de mapeamento de campo

Nesta seção, explicamos como o analisador do Chronicle mapeia os campos de registro do Security Command Center para os campos do Chronicle Unified Data Model (UDM) dos conjuntos de dados.

Referência de mapeamento de campo: campos de registro brutos para campos de UDM

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as descobertas do Event Threat Detection do Security Command Center.

Campo RawLog	Mapeamento de UDM	Lógica
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Se o valor do campo de registro `connections.destinationIp` não for igual a `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo de UDM `about.labels.value`.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Se o valor do campo de registro `message` corresponder ao regex `kubernetes`, o campo UDM `target.resource_ancestors.resource_type` será definido como CLUSTER.
	`about.resource.attribute.cloud.environment`	O campo `about.resource.attribute.cloud.environment` UDM está definido como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, o campo UDM `extension.auth.type` será definido como `SSO`.
	`extension.mechanism`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo UDM `extension.mechanism` será definido como `USERNAME_PASSWORD`.
	`extensions.auth.type`	Se o valor do campo de registro `principal.user.user_authentication_status` for igual a `ACTIVE`, o campo UDM `extensions.auth.type` será definido como `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo de registro `sourceProperties.properties.loadBalancerName` será mapeado para o campo de UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo UDM `intermediary.resource.resource_type` será definido como `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se o valor do campo de registro `canonicalName` não estiver vazio, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo de registro `canonicalName`. Se o valor do campo de registro `canonicalName` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo de UDM `metadata.product_log_id`.`metadata.product_log_id`
	`metadata.product_name`	O campo `metadata.product_name` UDM está definido como `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	O campo `metadata.vendor_name` UDM está definido como `Google`.
	`network.application_protocol`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo `network.application_protocol` UDM será definido como `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.asn` será mapeado para o campo de UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.carrierName` será mapeado para o campo de UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.reverseDnsDomain` será mapeado para o campo de UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseClass` será mapeado para o campo de UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Se o valor do campo de registro `category` corresponder ao regex `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseValue` será mapeado para o campo UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.domainName` será mapeado para o campo de UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.ttl` será mapeado para o campo de UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseData.responseType` será mapeado para o campo de UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.authAnswer` será mapeado para o campo de UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.queryName` será mapeado para o campo de UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.queryType` será mapeado para o campo de UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.responseCode` será mapeado para o campo de UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.callerUserAgent` será mapeado para o campo de UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.callerUserAgent` será mapeado para o campo de UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` será mapeado para o campo de UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo `network.ip_protocol` UDM será definido como um destes valores: `ICMP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `1` ou `ICMP`. `IGMP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `2` ou `IGMP`. `TCP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `6` ou `TCP`. `UDP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `17` ou `UDP`. `IP6IN4` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `41` ou `IP6IN4`. `GRE` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `47` ou `GRE`. `ESP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `50` ou `ESP`. `EIGRP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `88` ou `EIGRP`. `ETHERIP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `97` ou `ETHERIP`. `PIM` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `103` ou `PIM`. `VRRP` quando a seguinte condição for atendida: O valor do campo de registro `sourceProperties.properties.ipConnection.protocol` é igual a `112` ou `VRRP`. `UNKNOWN_IP_PROTOCOL` se o valor do campo de registro `sourceProperties.properties.ipConnection.protocol` for igual a qualquer outro valor.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.organizationName` será mapeado para o campo de UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.behaviorPeriod` será mapeado para o campo de UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` corresponder ao regex `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.sourceIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.sourceIp` será mapeado para o campo de UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.callerIp` será mapeado para o campo `principal.ip` UDM.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` será mapeado para o campo de UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Evasion: Access from Anonymizing Proxy`, o campo de registro `sourceProperties.properties.changeFromBadIp.ip` será mapeado para o campo de UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, o campo de registro `sourceProperties.properties.dnsContexts.sourceIp` será mapeado para o campo de UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.srcIp` será mapeado para o campo UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, se o valor do campo de registro `sourceProperties.properties.ipConnection.srcIp` não for igual a `sourceProperties.properties.indicatorContext.ipAddress`, o campo de registro `sourceProperties.properties.indicatorContext.ipAddress` será mapeado para o campo `principal.ip` de UDM.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.callerIp` será mapeado para o campo de UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels.key/value [sourceProperties_properties_scannerDomain]`	Se o valor do campo de registro `category` corresponder ao regex `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `sourceProperties.properties.scannerDomain` será mapeado para o campo UDM `principal.labels.key/value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` será mapeado para o campo de UDM `principal.labels.key/value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.indicatorContext.countryCode` será mapeado para o campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.location` será mapeado para o campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.job.location` será mapeado para o campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` será mapeado para o campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.anomalousLocation.anomalousLocation` será mapeado para o campo de UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.srcPort` será mapeado para o campo de UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo de UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobLink` será mapeado para o campo de UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` será mapeado para o campo de UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.job.jobId` será mapeado para o campo de UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.srcVpc.subnetworkName` será mapeado para o campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.srcVpc.projectId` será mapeado para o campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo de UDM `principal.resource_ancestors.name` e o campo `principal.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se o valor do campo de registro `message` corresponder ao regex `sourceProperties.sourceId.*?customerOrganizationNumber`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Se o valor do campo de registro `sourceProperties.properties.projectId` não estiver vazio, o campo de registro `sourceProperties.properties.projectId` será mapeado para o campo de UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` será mapeado para o campo de UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Se o valor do campo de registro `category` for igual a `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.sourceInstanceDetails` será mapeado para o campo de UDM `principal.resource.name`.
	`principal.user.account_type`	Se o valor do campo de registro `access.principalSubject` corresponder ao regex `serviceAccount`, o campo UDM `principal.user.account_type` será definido como `SERVICE_ACCOUNT_TYPE`. Caso contrário, se o valor do campo de registro `access.principalSubject` corresponder à regex `user`, o campo UDM `principal.user.account_type` será definido como `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo UDM `principal.user.attribute.labels.key` será definido como `rawUserAgent` e o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` será mapeado para o campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Discovery: Service Account Self-Investigation`, o campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Evasion: Access from Anonymizing Proxy`, o campo de registro `sourceProperties.properties.changeFromBadIp.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.userEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled` ou `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo de registro `sourceProperties.properties.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`. Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `sourceProperties.properties.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Persistence: New Geography`, o campo de registro `access.principalEmail` será mapeado para o campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.vpcViolation.userEmail` será mapeado para o campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked` ou `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, o campo de registro `sourceProperties.properties.ssoState` será mapeado para o campo UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.userName` será mapeado para o campo de UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.threatIntelligenceSource` será mapeado para o campo de UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.sourceIp` será mapeado para o campo de UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` será mapeado para o campo de UDM `security_result.about.resource.name`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.restrictedResources.resourceName` será mapeado para o campo UDM `security_result.about.resource.name`, e o campo `security_result.about.resource_type` UDM será definido como `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.allowedServices.serviceName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo `security_result.about.resource_type` será definido como `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.restrictedServices.serviceName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo `security_result.about.resource_type` será definido como `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.delta.accessLevels.policyName` será mapeado para o campo de UDM `security_result.about.resource.name` e o campo `security_result.about.resource_type` será definido como `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Se o valor do campo de registro `message` corresponder ao regex `contacts.?security`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `security`. Se o valor do campo de registro `message` corresponder ao regex `contacts.?technical`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo UDM `security_result.action` será definido como `BLOCK`. Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, se o valor do campo de registro `sourceProperties.properties.attempts.authResult` for igual a `SUCCESS`, o campo UDM `security_result.action` será definido como `BLOCK`. Além disso, o campo UDM `security_result.action` será definido como `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.restrictedResources.action` será mapeado para o campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.restrictedServices.action` será mapeado para o campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.allowedServices.action` será mapeado para o campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.delta.accessLevels.action` será mapeado para o campo de UDM `security_result.action_details`.
	`security_result.alert_state`	Se o valor do campo de registro `state` for igual a `ACTIVE`, o campo UDM `security_result.alert_state` será definido como `ALERTING`. Além disso, o campo UDM `security_result.alert_state` será definido como `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo `security_result.catgory_details` do UDM.
`category`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo `security_result.catgory_details` do UDM.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteInitiator` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteUpdateTimer` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Se o valor do campo de registro `category` for igual a `Persistence: New User Agent`, o campo de registro `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.authResult` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_industry` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_name` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.lasthit` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.myVote` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.support_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_name` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.upVotes` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.downVotes` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, o campo de UDM `security_result.detection_fields.key` será definido como `sourceProperties_contextUris_relatedFindingUri_url` e o campo de registro `sourceProperties.contextUris.relatedFindingUri.url` será mapeado para o campo de UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` será mapeado para o campo UDM `security_result.detection_fields.key`, e o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.contextUris.workspacesUri.displayName` será mapeado para o campo `security_result.detection_fields.key` do UDM, e o campo de registro `sourceProperties.contextUris.workspacesUri.url` será mapeado para o campo `security_result.detection_fields.key/value` do UDM.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` será mapeado para o campo de UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.tags.description` será mapeado para o campo de UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, o campo de registro `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `HIGH`, o campo UDM `security_result.priority` será definido como `HIGH_PRIORITY`. Além disso, se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `MEDIUM`, o campo UDM `security_result.priority` será definido como `MEDIUM_PRIORITY`. Além disso, se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `LOW`, o campo UDM `security_result.priority` será definido como `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Exfiltration`, o campo de registro `sourceProperties.properties.vpcViolation.violationReason` será mapeado para o campo de UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.query` será mapeado para o campo de UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolderDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.projectDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `parent` será mapeado para o campo UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` será mapeado para o campo de UDM `src.resource_ancestors.name` e o campo `src.resource_ancestors.resource_type` será definido como `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `resourceName` será mapeado para o campo de UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolder` será mapeado para o campo de UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.projectNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.sourceId.organizationNumber` será mapeado para o campo UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.displayName` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo UDM `src.resource.attribute.labels.key` será definido como `grantees` e o campo de registro `database.grantees` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.projectId` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.backupId` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `src.resource.attribute.labels.key/value` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.sources.name` será mapeado para o campo UDM `src.resource.name` e o campo de registro `resourceName` será mapeado para o campo `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name` e o campo `src.resource.resource_subtype` será definido como `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, o campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name` e o campo `src.resource.resource_subtype` de UDM será definido como `CloudSQL`. Além disso, se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` será mapeado para o campo de UDM `src.resource.name` e o campo de UDM `src.resource.resource_subtype` será definido como `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `exfiltration.sources.name` será mapeado para o campo UDM `src.resource.name` e o campo de registro `resourceName` será mapeado para o campo `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.tableId` será mapeado para o campo de UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.serviceName` será mapeado para o campo UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.serviceName` será mapeado para o campo UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Se o valor do campo de registro `category` for igual a `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.domainName` será mapeado para o campo de UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.domains.0` será mapeado para o campo UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` será mapeado para o campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` será mapeado para o campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` será mapeado para o campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` será mapeado para o campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` será mapeado para o campo de UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.permissions` será mapeado para o campo de UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` será mapeado para o campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` será mapeado para o campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` será mapeado para o campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` será mapeado para o campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Se o valor do campo de registro `category` for igual a `Persistence: IAM Anomalous Grant`, o campo de registro `sourceProperties.properties.customRoleSensitivePermissions.roleName` será mapeado para o campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` será mapeado para o campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` será mapeado para o campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Se o valor do campo de registro `category` for igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, o campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` será mapeado para o campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.destIp` será mapeado para o campo UDM `target.ip`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels.key/value [sourceProperties_properties_methodName]`	Se o valor do campo de registro `category` for igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.properties.methodName` será mapeado para o campo UDM `target.labels.value`.
`sourceProperties.properties.network.location`	`target.location.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.network.location` será mapeado para o campo UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Outgoing DoS`, o campo de registro `sourceProperties.properties.ipConnection.destPort` será mapeado para o campo de UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.query` será mapeado para o campo de UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	O campo de registro `containers.labels.name` é mapeado para o campo de UDM `target.resource_ancestors.attribute.labels.key`, e o campo de registro `containers.labels.value` é mapeado para o campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.projectId` será mapeado para o campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, o campo de registro `sourceProperties.properties.destVpc.subnetworkName` será mapeado para o campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.network.subnetworkName` será mapeado para o campo de UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Se o valor do campo de registro `category` for igual a `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.properties.network.subnetworkId` será mapeado para o campo de UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Caso o campo de registro `category` seja igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro de `category` será igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `target.resource_ancestors.name` será igual a `Active Scan: Log4j Vulnerable to RCE`,`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Caso o campo de registro `category` seja igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro de `category` será igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `target.resource_ancestors.name` será igual a `Active Scan: Log4j Vulnerable to RCE`,`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`parent`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Caso o campo de registro `category` seja igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro de `category` será igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `target.resource_ancestors.name` será igual a `Active Scan: Log4j Vulnerable to RCE`,`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`containers.name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` será mapeado para o campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Credential Access: Privileged Group Opened To Public`, o campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` será mapeado para o campo de UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Cryptomining Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, o campo de registro `sourceProperties.properties.destVpc.vpcName` será mapeado para o campo `target.resource_ancestors.name`/UDM, e o campo de registro `sourceProperties.properties.vpc.vpcName` será mapeado para o campo `target.resource_ancestors.name` do UDM e o campo `target.resource_ancestors.resource_type` UDM será definido como `VPC_NETWORK`. Se o campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, o campo de registro `category` será igual ao campo `target.resource_ancestors.name`.`categorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `sourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo de registro `sourceProperties.properties.gceInstanceId` será mapeado para o campo de UDM `target.resource_ancestors.product_object_id` e o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.zone` será mapeado para o campo de UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	O `finding_id` é extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo de UDM `src.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `src.resource.product_object_id`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `src.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `target.resource.product_object_id`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` será mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` será mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` será mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo UDM `target.resource.attribute.labels.key` será definido como `exportScope` e o campo de registro `sourceProperties.properties.exportToGcs.exportScope` será mapeado para o campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.objectName` será mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.originalUri` será mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.metadataKeyOperation` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.targets.components` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.bucketAccess` será mapeado para o campo de UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Se o campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name` é mapeado/o campo log2/ o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado para o campo de registro ou o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Se o campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name` é mapeado/o campo log2/ o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado para o campo de registro ou o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`resourceName`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Se o campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name` é mapeado/o campo log2/ o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado para o campo de registro ou o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`exfiltration.targets.name`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, então o campo de registro `sourceProperties.properties.name`/ o campo de registro `sourceProperties.properties.name` é mapeado/o campo , {1 o campo de registro é mapeado para o campo `target.resource.name` .`categorycategorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.instanceId` será mapeado para o campo de UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource.product_object_id`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` será mapeado para o campo `target.resource.resource_subtype` de UDM. Além disso, se o valor do campo de registro `category` for igual a `Credential Access: External Member Added To Privileged Group`, o campo de UDM `target.resource.resource_subtype` será definido como `Privileged Group`. Além disso, se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration`, o campo `target.resource.resource_subtype` do UDM será definido como `BigQuery`.
	`target.resource.resource_type`	Se o valor do campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionType` corresponder ao regex `BUCKET`, o campo UDM `target.resource.resource_type` será definido como `STORAGE_BUCKET`. Além disso, se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Além disso, se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`. Além disso, se o campo de registro `target.resource.resource_type` for igual a `category`, o valor do campo de registro `category` também for igual a `category`. `Exfiltration: BigQuery Data ExfiltrationTABLE`
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo de UDM `target.url`. Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, o campo de registro `sourceProperties.properties.extractionAttempt.jobLink` será mapeado para o campo de UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration`, o campo de registro `sourceProperties.properties.exportToGcs.gcsUri` será mapeado para o campo de UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Se o valor do campo de registro `category` for igual a `Initial Access: Log4j Compromise Attempt`, o campo de registro `sourceProperties.properties.requestUrl` será mapeado para o campo de UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, o campo de registro `sourceProperties.properties.policyLink` será mapeado para o campo de UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Se o valor do campo de registro `category` for igual a `Persistence: New Geography`, o campo de registro `sourceProperties.properties.anomalousLocation.notSeenInLast` será mapeado para o campo de UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.attempts.username` será mapeado para o campo de UDM `target.user.userid`. Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `userid` será mapeado para o campo de UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Se o valor do campo de registro `category` for igual a `Initial Access: Suspicious Login Blocked`, o campo de registro `userid` será mapeado para o campo de UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels.key/value [Environment_Variables_name]`
	`target.labels.key/value [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Added Binary Executed` ou `Added Library Loaded`, o campo de registro `sourceProperties.VM_Instance_Name` será mapeado para o campo de UDM `target.resource_ancestors.name` e o campo `target.resource_ancestors.resource_type` UDM será definido como `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, o campo de registro `sourceProperties.Backend_Service` será mapeado para o campo UDM `target.resource.name` e o campo de registro `resourceName` será mapeado para o campo `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Se o valor do campo de registro `category` for igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, o campo de UDM `target.resource.resource_type` será definido como `BACKEND_SERVICE`. Se o valor do campo de registro `category` for igual a `Configurable Bad Domain`, o campo de UDM `target.resource.resource_type` será definido como `VIRTUAL_MACHINE`.
	`is_alert`	Se o valor do campo de registro `state` for igual a `ACTIVE`, se o valor do campo de registro `mute_is_not_present` não for igual a "true" e (o valor do campo de registro `mute` for igual a `UNMUTED` ou o valor do campo de registro `mute` for igual a `UNDEFINED`), o campo UDM `is_alert` será definido como `true`, caso contrário, o campo UDM `is_alert` será definido como `false`.
	`is_significant`	Se o valor do campo de registro `state` for igual a `ACTIVE`, se o valor do campo de registro `mute_is_not_present` não for igual a "true" e (o valor do campo de registro `mute` for igual a `UNMUTED` ou o valor do campo de registro `mute` for igual a `UNDEFINED`), o campo UDM `is_significant` será definido como `true`, caso contrário, o campo UDM `is_significant` será definido como `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : extraiu `user_id` do campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail`. Em seguida, o campo `user_id` é mapeado para o campo de UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : extraiu `user_id` do campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`. Em seguida, o campo `user_id` é mapeado para o campo de UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, Grok : extraiu `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` do campo de registro `resourceName`, o campo de registro `region` será mapeado para o campo `principal.asset.location.name` de UDM.
`resourceName`	`principal.asset.product_object_id`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, Grok : extraiu `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` do campo de registro `resourceName`, o campo de registro `asset_prod_obj_id` será mapeado para o campo `principal.asset.product_object_id` de UDM.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, Grok : extraiu `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` do campo de registro `resourceName`, o campo de registro `zone_suffix` será mapeado para o campo `principal.asset.attribute.cloud.availability_zone` de UDM.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Se o valor do campo de registro `parentDisplayName` for igual a `Virtual Machine Threat Detection`, Grok : extraiu `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` do campo de registro `resourceName`, o campo de registro `project_name` será mapeado para o campo `principal.asset.attribute.labels.value` de UDM.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.methodName` será mapeado para o campo de UDM `target.labels`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.serviceName` será mapeado para o campo de UDM `target.labels`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.attemptTimes` será mapeado para o campo de UDM `target.labels`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Se o valor do campo de registro `category` for igual a `Initial Access: Excessive Permission Denied Actions`, o campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` será mapeado para o campo de UDM `target.labels`.

Referência de mapeamento de campo: identificador de evento para tipo de evento

Identificador do evento	Tipo de evento	Categoria de segurança
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLORAR
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLORAR
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

As tabelas a seguir contêm tipos de evento de UDM e mapeamento de campos de UDM para o Security Command Center: classes de descoberta VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED e POSTURE_VIOLATION.

Categoria VULNERABILITY ao tipo de evento UDM

A tabela a seguir lista a categoria VULNERABILITY e os tipos de evento de UDM correspondentes.

Identificador do evento	Tipo de evento	Categoria de segurança
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLORAR
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`

Categoria MISCONFIGURATION para o tipo de evento UDM

A tabela a seguir lista a categoria MISCONFIGURATION e os tipos de evento de UDM correspondentes.

Identificador do evento	Tipo de evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoria OBSERVATION para tipo de evento UDM

A tabela a seguir lista a categoria OBSERVATION e os tipos de evento de UDM correspondentes.

Identificador do evento	Tipo de evento
Persistência: chave SSH do projeto adicionada	SETTING_MODIFICATION
Persistência: adicionar papel sensível	RESOURCE_PERMISSIONS_CHANGE
Impacto: instância de GPU criada	USER_RESOURCE_CREATION
Impacto: muitas instâncias criadas	USER_RESOURCE_CREATION

Categoria de ERRO para o tipo de evento de UDM

A tabela a seguir lista a categoria ERRO e os tipos de evento de UDM correspondentes.

Identificador do evento	Tipo de evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Categoria UNSPECIFIED para tipo de evento UDM

A tabela a seguir lista a categoria UNSPECIFIED e os tipos de eventos de UDM correspondentes.

Identificador do evento	Tipo de evento	Categoria de segurança
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Categoria POSTURE_VIOLATION ao tipo de evento UDM

A tabela a seguir lista a categoria POSTURE_VIOLATION e os tipos de evento de UDM correspondentes.

Identificador do evento	Tipo de evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referência de mapeamento de campo: VULNERABILITY

A tabela a seguir lista os campos de registro da categoria VULNERABILITY e os campos de UDM correspondentes.

Campo RawLog	Mapeamento de UDM	Lógica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [nome_de_origem]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
categoria	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` extraído de `resourceName` usando um padrão Grok e mapeado para o campo UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` extraído de `resourceName` usando um padrão Grok e mapeado para o campo UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` extraído de `resourceName` usando um padrão Grok e mapeado para o campo UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referência de mapeamento de campo: MISCONFIGURATION

A tabela a seguir lista os campos de registro da categoria MISCONFIGURATION e os campos do UDM correspondentes.

Campo RawLog	Mapeamento de UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger].
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_compatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referência de mapeamento de campo: OBSERVATION

A tabela a seguir lista os campos de registro da categoria OBSERVATION e os campos de UDM correspondentes.

Campo RawLog	Mapeamento de UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [nome_de_exibição_do_recurso]
assetId	target.asset.asset_id

Referência de mapeamento de campo: ERROR

A tabela a seguir lista os campos de registro da categoria ERROR e os campos de UDM correspondentes.

Campo RawLog	Mapeamento de UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referência de mapeamento de campo: UNSPECIFIED

A tabela a seguir lista os campos de registro da categoria UNSPECIFIED e os campos de UDM correspondentes.

Campo RawLog	Mapeamento de UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referência de mapeamento de campo: POSTURE_VIOLATION

A tabela a seguir lista os campos de registro da categoria POSTURE_VIOLATION e os campos de UDM correspondentes.

Campo de registro	Mapeamento de UDM	Lógica
`finding.resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `finding.resourceName` não estiver vazio, o campo de registro `finding.resourceName` será mapeado para o campo de UDM `target.resource.name`. O campo `project_name` é extraído do campo de registro `finding.resourceName` usando o padrão Grok. Se o valor do campo `project_name` não estiver vazio, o campo `project_name` será mapeado para o campo UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `resourceName` não estiver vazio, o campo de registro `resourceName` será mapeado para o campo de UDM `target.resource.name`. O campo `project_name` será extraído do campo de registro `resourceName` usando o padrão Grok. Se o valor do campo `project_name` não estiver vazio, o campo `project_name` será mapeado para o campo UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Se o valor do campo de registro `finding.cloudProvider` contiver um dos valores a seguir, o campo de registro `finding.cloudProvider` será mapeado para o campo `about.resource.attribute.cloud.environment` UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Se o valor do campo de registro `cloudProvider` contiver um dos valores a seguir, o campo de registro `cloudProvider` será mapeado para o campo `about.resource.attribute.cloud.environment` UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Se o valor do campo de registro `resource.cloudProvider` contiver um dos valores a seguir, o campo de registro `resource.cloudProvider` será mapeado para o campo `target.resource.attribute.cloud.environment` UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campos comuns: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

A tabela a seguir lista campos comuns do CENTRO DE COMANDO DE SEGURANÇA: categorias VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION e TOXIC_COMBINATION e os campos de UDM correspondentes.

Campo RawLog	Mapeamento de UDM	Lógica
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Se o valor do campo de registro `connections.destinationIp` não for igual a `sourceProperties.properties.ipConnection.destIp`, o campo de registro `connections.destinationIp` será mapeado para o campo de UDM `about.labels.value`.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	O campo `target.resource_ancestors.resource_type` UDM está definido como `CLUSTER`.
	`about.resource.attribute.cloud.environment`	O campo `about.resource.attribute.cloud.environment` UDM está definido como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se o valor do campo de registro `canonicalName` não estiver vazio, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo de registro `canonicalName`. Se o valor do campo de registro `canonicalName` estiver vazio, o campo de registro `sourceProperties.evidence.sourceLogId.insertId` será mapeado para o campo de UDM `metadata.product_log_id`.`metadata.product_log_id`
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se o valor do campo de registro `message` corresponder ao regex `sourceProperties.sourceId.*?customerOrganizationNumber`, o campo de registro `sourceProperties.sourceId.customerOrganizationNumber` será mapeado para o campo UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Se o valor do campo de registro `access.principalSubject` corresponder ao regex `serviceAccount`, o campo UDM `principal.user.account_type` será definido como `SERVICE_ACCOUNT_TYPE`. Caso contrário, se o valor do campo de registro `access.principalSubject` corresponder à regex `user`, o campo UDM `principal.user.account_type` será definido como `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Se o valor do campo de registro `message` corresponder ao regex `contacts.?security`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `security`. Se o valor do campo de registro `message` corresponder ao regex `contacts.?technical`, o campo UDM `security_result.about.user.attribute.roles.name` será definido como `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Se o valor do campo de registro `state` for igual a `ACTIVE`, o campo UDM `security_result.alert_state` será definido como `ALERTING`. Além disso, o campo UDM `security_result.alert_state` será definido como `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	O campo de registro `findingClass - category` é mapeado para o campo `security_result.catgory_details` do UDM.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteInitiator` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se o valor do campo de registro `mute` for igual a `MUTED` ou `UNMUTED`, o campo de registro `muteUpdateTimer` será mapeado para o campo de UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se o valor do campo de registro `category` for igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, o campo de UDM `security_result.detection_fields.key` será definido como `sourceProperties_contextUris_relatedFindingUri_url` e o campo de registro `sourceProperties.contextUris.relatedFindingUri.url` será mapeado para o campo de UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` será mapeado para o campo UDM `security_result.detection_fields.key`, e o campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` será mapeado para o campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se o valor do campo de registro `category` for igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled` ou `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, o campo de registro `sourceProperties.contextUris.workspacesUri.displayName` será mapeado para o campo `security_result.detection_fields.key` do UDM, e o campo de registro `sourceProperties.contextUris.workspacesUri.url` será mapeado para o campo `security_result.detection_fields.value` do UDM.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `HIGH`, o campo UDM `security_result.priority` será definido como `HIGH_PRIORITY`. Além disso, se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `MEDIUM`, o campo UDM `security_result.priority` será definido como `MEDIUM_PRIORITY`. Além disso, se o valor do campo de registro `sourceProperties.detectionPriority` for igual a `LOW`, o campo UDM `security_result.priority` será definido como `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.query` será mapeado para o campo de UDM `src.process.command_line`. Além disso, o campo de registro `database.query` é mapeado para o campo de UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.folders.resourceFolderDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.value`. Além disso, o campo de registro `resource.folders.resourceFolderDisplayName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.key/value`. Além disso, o campo de registro `resource.parentDisplayName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.parentName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.key/value`. Além disso, o campo de registro `resource.parentName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.projectDisplayName` será mapeado para o campo de UDM `src.resource_ancestors.attribute.labels.key/value`. Além disso, o campo de registro `resource.projectDisplayName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo de registro `database.displayName` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Over-Privileged Grant`, o campo UDM `src.resource.attribute.labels.key` será definido como `grantees` e o campo de registro `database.grantees` será mapeado para o campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será mapeado para o campo de UDM `src.resource.attribute.labels.value`. Além disso, o campo de registro `resource.displayName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será mapeado para o campo de UDM `src.resource.attribute.labels.value`. Além disso, o campo de registro `resource.display_name` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.type` será mapeado para o campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.displayName` será mapeado para o campo de UDM `src.resource.attribute.labels.value`. Além disso, o campo de registro `resource.displayName` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, o campo de registro `resource.display_name` será mapeado para o campo de UDM `src.resource.attribute.labels.value`. Além disso, o campo de registro `resource.display_name` é mapeado para o campo de UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.sources.components` será mapeado para o campo de UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se o valor do campo de registro `category` for igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, o campo de registro `resourceName` será mapeado para o campo UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Se o valor do campo de registro `category` for igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, o campo de registro `access.serviceName` será mapeado para o campo UDM `target.application`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Se o valor do campo de registro `category` for igual a `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será mapeado para o campo de UDM `target.resource_ancestors.name`. Além disso, se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será mapeado para o campo de UDM `target.resource_ancestors.name`. Além disso, se o valor do campo de registro `category` for igual a `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, o campo de registro `sourceProperties.properties.projectId` será mapeado para o campo do UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `sourceProperties.properties.zone` será mapeado para o campo de UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	O `finding_id` é extraído do campo de registro `canonicalName` usando um padrão Grok. Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo de UDM `src.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `src.resource.product_object_id`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `src.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` for igual a um dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se o valor do campo de registro `finding_id` não estiver vazio, o campo de registro `finding_id` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value [finding_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `finding_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `target.resource.product_object_id`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se o valor do campo de registro `source_id` não estiver vazio, o campo de registro `source_id` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value [source_id]`. Se o valor do campo de registro `category` não for igual a nenhum dos valores a seguir, o `source_id` será extraído do campo de registro `canonicalName` usando um padrão Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se o valor do campo de registro `category` for igual a `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, o campo de registro `exfiltration.targets.components` será mapeado para o campo de UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Se o valor do campo de registro `category` for igual a `Brute Force: SSH`, o campo de registro `resourceName` será mapeado para o campo `target.resource_ancestors.name` UDM. Além disso, se o valor do campo de registro `category` for igual a `Malware: Bad Domain` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, o campo de registro `resourceName` será mapeado para o campo `target.resource_ancestors.name` UDM e o campo `target.resource.resource_type` UDM será definido como `VIRTUAL_MACHINE`. Além disso, se o campo de registro `category` for igual a {10/DM} ou `Exfiltration: BigQuery Data to Google Drive`o campo de registro for igual a `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, {11/ o campo de registro for igual a `Exfiltration: BigQuery Data Extraction`.`categoryresourceName` `exfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RegionCode`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo de UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RemoteHost`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo de UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `UserAgent`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo de UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Se o valor do campo de registro `sourceProperties.Header_Signature.name` for igual a `RequestUriPath`, o campo de registro `sourceProperties.Header_Signature.significantValues.value` será mapeado para o campo de UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.compromised_account` será mapeado para o campo `principal.user.userid` do UDM e o campo `principal.user.account_type` do UDM será definido como `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.project_identifier` será mapeado para o campo de UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.private_key_identifier` será mapeado para o campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels.key/value [action_taken]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.action_taken` será mapeado para o campo de UDM `principal.labels.value`.
`sourceProperties.finding_type`	`principal.labels.key/value [finding_type]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.finding_type` será mapeado para o campo de UDM `principal.labels.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.url` será mapeado para o campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Se o valor do campo de registro `category` for igual a `account_has_leaked_credentials`, o campo de registro `sourceProperties.security_result.summary` será mapeado para o campo de UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`

A seguir

Ingestão de dados para o Chronicle