Se usó la API de Cloud Translation para traducir esta página.

Recopila los hallazgos de Security Command Center

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo puedes recopilar registros de Security Command Center mediante la configuración de Security Command Center y transferir los resultados a Google Security Operations. En este documento, también se enumeran los eventos admitidos.

Para obtener más información, consulta Transferencia de datos a Google Security Operations y Exporta resultados de Security Command Center a Google Security Operations. Una implementación típica consiste en Security Command Center y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

Google Cloud: Es el sistema que se debe supervisar en el que se instala Security Command Center.
Hallazgos de la detección de amenazas en eventos de Security Command Center: Recopila información de la fuente de datos y genera hallazgos.
Google Security Operations: Retiene y analiza los registros de Security Command Center.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de transferencia:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configura Security Command Center y Google Cloud para enviar los resultados a Google Security Operations

Activa Security Command Center.
Asegúrate de que todos los sistemas en la implementación estén configurados en la zona horaria UTC.
Habilita la transferencia de hallazgos de Security Command Center.

Hallazgos admitidos de Event Threat Detection

En esta sección, se enumeran los hallazgos de Event Threat Detection admitidos. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta Reglas de Event Threat Detection.

Buscando nombre	Descripción
Análisis activo: Log4j es vulnerable a RCE	Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios no ofuscados que se iniciaron con escáneres de vulnerabilidades compatibles de Log4j.
Ataques de fuerza bruta: SSH	Detección de fuerza bruta SSH exitosa en un host
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios	Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgaron roles o permisos sensibles). Un hallazgo se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Acceso a las credenciales: Grupo privilegiado abierto al público	Detecta cuándo se cambia un Grupo de Google con privilegios (un grupo al que se otorgaron roles o permisos sensibles) para que sea accesible para el público general. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido	Detecta cuándo se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en los Grupos de Google.
Defense Evasion: Modifica el Control de servicios de VPC	Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro.
Descubrimiento: Puede obtener checkPreview de objeto de Kubernetes sensible	Un agente malicioso intentó determinar qué objetos sensibles en Google Kubernetes Engine (GKE) se pueden consultar con el comando kubectl auth can-i get.
Descubrimiento: Autoinvestigación de cuentas de servicio	La detección de una credencial de cuenta de servicio de Identity and Access Management (IAM) que se usa para investigar los roles y permisos asociados con esa misma cuenta de servicio.
Evasión: Acceso desde un proxy de anonimización	Detección de modificaciones del servicio de Google Cloud que se originaron a partir de direcciones IP de proxy anónimas, como las direcciones IP Tor.
Robo de datos: Robo de datos de BigQuery	Detecta las siguientes situaciones: Recursos que son propiedad de la organización protegida y que se guardan fuera de ella, incluidas las operaciones de copia o transferencia Intentos de acceder a los recursos de BigQuery protegidos por los Controles del servicio de VPC.
Robo de datos: Extracción de datos de BigQuery	Detecta las siguientes situaciones: Un recurso de BigQuery que es propiedad de la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización. Un recurso de BigQuery que es propiedad de la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.
Robo de datos: datos de BigQuery en Google Drive	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Robo de datos de Cloud SQL	Detecta las siguientes situaciones: Datos de instancia en vivo exportados a un bucket de Cloud Storage fuera de la organización. Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y al que se puede acceder de forma pública.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Detecta cuándo la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización.
Robo de datos: Otorgamiento con exceso de privilegios de SQL de Cloud SQL	Detecta cuándo se otorgaron todos los privilegios a una base de datos o a todas las tablas, procedimientos o funciones de un esquema a un usuario o rol de Cloud SQL Postgres.
Inhabilita las defensas: Autenticación segura inhabilitada	Se inhabilitó la verificación en dos pasos para la organización.
Inhabilita las defensas: Verificación en dos pasos inhabilitada	Un usuario inhabilitó la verificación en 2 pasos.
Acceso inicial: Usurpación de cuenta inhabilitada	Se suspendió la cuenta de un usuario debido a una actividad sospechosa.
Acceso inicial: Filtrado de contraseña inhabilitada	Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.
Acceso inicial: Ataque basado en el Gobierno	Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.
Acceso inicial: Intento de compromiso de Log4j	Detecta búsquedas de nomenclatura de Java y de la interfaz de directorios (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso.
Acceso inicial: Acceso sospechoso bloqueado	Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario.
Software malicioso de Log4j: Error de dominio	La detección del exploit de tráfico de Log4j se basa en una conexión a, o una búsqueda de, un dominio conocido utilizado en los ataques de Log4j.
Software malicioso de Log4j: IP incorrecta	La detección del exploit de tráfico de Log4j se basa en una conexión a una dirección IP conocida utilizada en ataques de Log4j.
Software malicioso: error de dominio	Detección de software malicioso basada en una conexión a un dominio malicioso conocido o una búsqueda de este.
Software malicioso: error de IP	Detección de software malicioso basada en una conexión a una dirección IP incorrecta conocida.
Software malicioso: Error de criptominería en un dominio	Detección de criptominería basada en una conexión a un dominio de minería de criptomonedas conocido, o una búsqueda de este.
Software malicioso: Criptominería de IP incorrecta	Detección de minería de criptomonedas basada en una conexión a una dirección IP de minería conocida.
DoS Salientes	Detección del tráfico saliente de denegación del servicio
El administrador de Compute Engine agregó la clave SSH	Detección de una modificación en el valor de la clave SSH de metadatos de la instancia de Compute Engine en una instancia establecida (de más de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio	La detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (de más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM	Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado.
Persistencia: Nueva API de MethodPreview	Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía	Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes.
Persistencia: Usuario-agente nuevo	Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos.
Persistencia: Activación o desactivación de SSO	Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada	Se cambió la configuración de SSO para la cuenta de administrador.
Elevación de privilegios: Cambios en los objetos RBAC sensibles de KubernetesVista previa	Para elevar privilegios, un agente malicioso trató de modificar los objetos cluster-admin ClusterRole y ClusterRoleBinding mediante una solicitud PUT o PATCH.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal	Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le otorga acceso de administrador del clúster.
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensiblesPreview	Un agente malicioso intentó crear nuevos objetos RoleBinding o ClusterRoleBinding de administrador de clústeres para escalar su privilegio.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas (versión preliminar)	Un agente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor de Kubernetes con privilegios (versión preliminar)	Un agente malicioso creó Pods con contenedores con privilegios o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo de privilegios configurado como verdadero. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como verdadero.
Acceso inicial: Se creó la clave de cuenta de servicio inactiva	Detecta eventos en los que se crea una clave para una cuenta de servicio inactiva administrada por un usuario. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Árbol de procesos	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un objeto binario que no debería generar un proceso de shell, el detector activa un hallazgo.
Shell secundario inesperado	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica su proceso superior. Si el proceso superior es un binario que no debe generar un proceso de shell, el detector activa un hallazgo.
Ejecución: Se ejecutó el binario malicioso agregado	El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: ejecución de binario malicioso modificado	El detector busca un binario en ejecución que originalmente estaba incluido en la imagen del contenedor, pero se modificó durante el tiempo de ejecución, y se identificó como malicioso según la información sobre amenazas.
Elevación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador	Detecta cuándo se encuentra una solicitud delegada de varios pasos anómala para una actividad administrativa.
Se usó una cuenta de anulación de emergencia: descanso_de_vidrio_account	Detecta el uso de una cuenta de acceso de emergencia (anulación de emergencia).
Dominio incorrecto configurable: APT29_Domains	Detecta una conexión a un nombre de dominio especificado.
Otorgamiento de rol inesperado: roles prohibidos	Detecta cuándo se otorga un rol especificado a un usuario.
IP incorrecta configurable	Detecta una conexión a una dirección IP especificada.
Tipo de instancia de Compute Engine inesperado	Detecta la creación de instancias de Compute Engine que no coinciden con un tipo de instancia o una configuración especificados.
Imagen de origen de Compute Engine inesperada	Detecta la creación de una instancia de Compute Engine con una imagen o familia de imágenes que no coincide con una lista especificada.
Región inesperada de Compute Engine	Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada.
Rol personalizado con permiso prohibido	Detecta cuándo se otorga a una principal un rol personalizado con cualquiera de los permisos de IAM especificados.
Llamada inesperada a la API de Cloud	Detecta cuándo una principal especificada llama a un método especificado en un recurso determinado. Un resultado se genera solo si todas las expresiones regulares coinciden en una sola entrada de registro.

Hallazgos admitidos de GCP_SECURITYCENTER_ERROR

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: ERROR.

Buscando nombre	Descripción
VPC_SC_RESTRICTION	Security Health Analytics no puede producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar los resultados a Logging.
API_DISABLED	Una API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.
KTD_IMAGE_PULL_FAILURE	La Detección de amenazas a contenedores no se puede habilitar en el clúster porque no se puede extraer (descargar) una imagen de contenedor necesaria desde gcr.io, el host de imagen de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere esta función.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection. Cuando se ve en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que mostró Google Kubernetes Engine cuando Container Threat Detection intentó implementar un objeto DaemonSet de detección de amenazas de contenedor.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A una cuenta de servicio le faltan los permisos que requiere Container Threat Detection. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection no puede generar resultados para un clúster de Google Kubernetes Engine, porque a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto evita que Container Threat Detection se habilite correctamente en el clúster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar correctamente. No se producen resultados.

Resultados compatibles de GCP_SECURITYCENTER_OBSERVATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: OBSERVACIÓN.

Buscando nombre	Descripción
Persistencia: Se agregó la clave SSH al proyecto	Se creó una clave SSH a nivel de proyecto en un proyecto que tiene más de 10 días de antigüedad.
Persistencia: Agrega un rol sensible	Se otorgó un rol de IAM sensible o con privilegios elevados a nivel de la organización en una organización que tiene más de 10 días.

Resultados compatibles de GCP_SECURITYCENTER_UNSPECIFIED

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: UNSPECIFIED.

Buscando nombre	Descripción
OPEN_FIREWALL	Un firewall está configurado para estar abierto al acceso público.

Resultados admitidos de GCP_SECURITYCENTER_VULNERABILITY

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: VULNERABILITY.

Buscando nombre	Descripción
DISK_CSEK_DISABLED	Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.
ALPHA_CLUSTER_ENABLED	Las funciones del clúster Alfa están habilitadas para un clúster de GKE.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED	La función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes, está inhabilitada.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
COS_NOT_USED	Las VMs de Compute Engine no usan Container-Optimized OS que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.
INTEGRITY_MONITORING_DISABLED	La supervisión de integridad está inhabilitada para un clúster de GKE.
IP_ALIAS_DISABLED	Se creó un clúster de GKE con los rangos de IP de alias inhabilitados.
LEGACY_METADATA_ENABLED	Los metadatos heredados están habilitados en los clústeres de GKE.
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
DATAPROC_IMAGE_OUTDATED	Se creó un clúster de Dataproc con una versión de imagen de Dataproc afectada por vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046).
PUBLIC_DATASET	Un conjunto de datos se configura para estar abierto al acceso público.
DNSSEC_DISABLED	Las DNSSEC están inhabilitadas para las zonas de Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Una función de IAM de Redis se asigna a nivel de organización o carpeta.
KMS_PUBLIC_KEY	Las claves criptográficas de Cloud KMS son de acceso público.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_EXTERNAL_SCRIPTS_ENABLED	La marca de base de datos de secuencias de comandos externas habilitadas para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_ERROR_VERBOSITY	La marca de base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como predeterminada o más estricta.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en “-1”.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_MIN_MESSAGES	La marca de base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como advertencia.
SQL_LOG_EXECUTOR_STATS_ENABLED	La marca de base de datos log_executor_status para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_HOSTNAME_ENABLED	La marca de base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PARSER_STATS_ENABLED	La marca de base de datos log_parser_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PLANNER_STATS_ENABLED	La marca de base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_STATEMENT_STATS_ENABLED	La marca de base de datos log_statement_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	Se configuró la marca de base de datos de conexiones de usuario para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED	La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
SQL_WEAK_ROOT_PASSWORD	Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
PUBLIC_LOG_BUCKET	Un bucket de almacenamiento usado como receptor de registros es de acceso público.
ACCESSIBLE_GIT_REPOSITORY	Un repositorio de Git se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de GIT.
ACCESSIBLE_SVN_REPOSITORY	Un repositorio de SVN se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de SVN.
CACHEABLE_PASSWORD_INPUT	Las contraseñas que se ingresan en la aplicación web se pueden almacenar en la caché de un navegador común en lugar de un almacenamiento seguro de contraseñas.
CLEAR_TEXT_PASSWORD	Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este hallazgo, encripta la contraseña transmitida a través de la red.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de la solicitud de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este hallazgo, valida que el dominio esperado coincida completamente con el valor del encabezado de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE	Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este hallazgo, configura el encabezado HTTP X-Content-Type-Options con el valor correcto.
INVALID_HEADER	Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta.
MISMATCHING_SECURITY_HEADER_VALUES	Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este hallazgo, configura los encabezados de seguridad HTTP correctamente.
MISSPELLED_SECURITY_HEADER_NAME	Un encabezado de seguridad está mal escrito y se ignora. Para resolver este hallazgo, configura los encabezados de seguridad HTTP correctamente.
MIXED_CONTENT	Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS.
OUTDATED_LIBRARY	Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este hallazgo, actualiza las bibliotecas a una versión más reciente.
SERVER_SIDE_REQUEST_FORGERY	Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este hallazgo, usa una lista de entidades permitidas para limitar los dominios y las direcciones IP a los que la aplicación web puede realizar solicitudes.
SESSION_ID_LEAK	Cuando se realiza una solicitud multidominio, la aplicación web incluye el identificador de sesión del usuario en el encabezado de la solicitud de referencia. Esta vulnerabilidad le da al dominio receptor acceso al identificador de la sesión, que se puede usar para suplantar la identidad del usuario o identificarlo de manera inequívoca.
SQL_INJECTION	Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este hallazgo, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta en SQL.
STRUTS_INSECURE_DESERIALIZATION	Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.
XSS	Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario.
XSS_ANGULAR_CALLBACK	La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver esto, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla.
XSS_ERROR	Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver este hallazgo, valida y evita los datos que no sean de confianza proporcionados por los usuarios.
XXE_REFLECTED_FILE_LEAKAGE	Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas.
BASIC_AUTHENTICATION_ENABLED	Debe habilitarse la autenticación de IAM o de certificado de cliente en los clústeres de Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Los clústeres de Kubernetes se deben crear con el certificado de cliente habilitado.
LABELS_NOT_USED	Las etiquetas se pueden usar para desglosar los datos de facturación.
PUBLIC_STORAGE_OBJECT	La LCA de objetos de almacenamiento no debe otorgar acceso a allUsers.
SQL_BROAD_ROOT_LOGIN	El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables.
WEAK_CREDENTIALS	Este detector busca credenciales débiles con métodos de fuerza bruta ncra. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	La API de Elasticsearch permite que los llamadores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
EXPOSED_GRAFANA_ENDPOINT	En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido de directorios que permite que cualquier usuario lea cualquier archivo en el servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798.
EXPOSED_METABASE	Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad de mapas con GeoJSON personalizado y la posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de su carga. Para obtener más información, consulta CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Este detector verifica si se exponen los extremos sensibles de Actuator de las aplicaciones de Spring Boot. Es posible que algunos extremos predeterminados, como /heapdump, expongan información sensible. Otros endpoints, como /env, podrían conducir a la ejecución remota de código. Actualmente, solo se verifica /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster Hadoop, está expuesta y permite la ejecución de código no autenticado.
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos de las aplicaciones de Java. Ejecutar JMX con un extremo de invocación de método remoto sin protección permite a cualquier usuario remoto crear un MBean javax.management.loading.MLet y usarlo para crear MBeans nuevos a partir de URLs arbitrarias.
JUPYTER_NOTEBOOK_EXPOSED_UI	Este detector verifica si se expone un notebook de Jupyter sin autenticar. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión. Un notebook de Jupyter no autenticado pone la VM de hosting en riesgo de ejecución remota de código.
KUBERNETES_API_EXPOSED	La API de Kubernetes se expone y los emisores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Este detector verifica si una instalación de WordPress está sin terminar. Una instalación sin terminar de WordPress expone la página /wp-admin/install.php, que permite al atacante establecer la contraseña de administrador y, posiblemente, comprometer el sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Este detector comprueba si hay una instancia de Jenkins no autenticada mediante el envío de un ping de sondeo al extremo /view/all/newJob como un visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían llevar a la ejecución remota del código.
APACHE_HTTPD_RCE	Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite que un atacante use un ataque de desbordamiento de ruta de acceso para asignar URLs a archivos fuera de la raíz del documento esperada y ver la fuente de los archivos interpretados, como las secuencias de comandos CGI. Se sabe que este problema se explota en el entorno. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro CVE CVE-2021-41773 Vulnerabilidades del servidor HTTP 2.4 de Apache
APACHE_HTTPD_SSRF	Los atacantes pueden crear un URI para el servidor web Apache que haga que mod_proxy reenvíe la solicitud a un servidor de origen que elija el atacante. Este problema afecta al servidor HTTP de Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro CVE CVE-2021-40438 Vulnerabilidades del servidor HTTP 2.4 de Apache
CONSUL_RCE	Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks establecido en verdadero y la API HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las comprobaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Protección de Consul contra riesgos de RCE en configuraciones específicas. Para comprobar esta vulnerabilidad, la Detección rápida de vulnerabilidades registra un servicio en la instancia de Consul mediante el extremo REST /v1/health/service, que luego ejecuta una de las siguientes opciones: * Un comando curl a un servidor remoto fuera de la red Un atacante puede usar el comando curl para exfiltrar datos del servidor. * Un comando printf. Luego, la Detección rápida de vulnerabilidades verifica el resultado del comando con el extremo de REST /v1/health/service. * Después de la verificación, la Detección rápida de vulnerabilidades limpia y cancela el registro del servicio con el extremo REST /v1/agent/service/deregister/.
DRUID_RCE	Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario, incorporado en varios tipos de solicitudes. Esta funcionalidad está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar un código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta Detalles de CVE-2021-25646.
DRUPAL_RCE	Las versiones de Drupal anteriores a la 7.58, 8.x antes de la 8.3.9, 8.4.x antes de la 8.4.6 y 8.5.x antes de la 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de API de formulario. Las versiones de Drupal 8.5.x anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución remota de código cuando el módulo del servicio web RESTful o la API de JSON están habilitados. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.
FLINK_FILE_DISCLOSURE	Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local de JobManager a través de la interfaz REST del proceso de JobManager. El acceso está restringido a los archivos a los que puede acceder el proceso JobManager.
GITLAB_RCE	En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida correctamente los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos.
GoCD_RCE	En GoCD 21.2.0 y versiones anteriores, existe un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de recorrido de directorios que permite que un usuario lea cualquier archivo del servidor sin autenticación.
JENKINS_RCE	Las versiones 2.56 y anteriores de Jenkins, y 2.46.1 LTS y anteriores son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede ser activada por un atacante no autenticado que utiliza un objeto Java serializado malicioso.
JOOMLA_RCE	Las versiones de Joomla 1.5.x, 2.x y 3.x anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede activarse con un encabezado elaborado que contenga objetos PHP serializados. Las versiones de Joomla 3.0.0 a 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contiene un objeto PHP serializado y elaborado.
LOG4J_RCE	En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se utilizan en configuraciones, mensajes de registro y parámetros no protegen contra LDAP controlado por el atacante y otros endpoints relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT a través de la versión 2.3.0 permite el restablecimiento arbitrario de contraseñas y el acceso de administrador no autenticado proporcionando un valor confirm_hash vacío para verificar.php.
OGNL_RCE	Las instancias de Confluence Server y Data Center contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084.
OPENAM_RCE	El servidor OpenAM 14.6.2 y versiones anteriores, y el servidor ForgeRock AM 6.5.3 y anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession en varias páginas. El exploit no requiere autenticación, y la ejecución de código remoto se puede activar enviando una sola solicitud /ccversion/* creada al servidor. La vulnerabilidad existe debido al uso de la aplicación Sun ONE. Para obtener más información, consulta CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad fácil de explotar permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa un servidor Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882.
PHPUNIT_RCE	Las versiones de PHPUnit anteriores a 5.6.3 permiten la ejecución de código remoto con una única solicitud POST no autenticada.
PHP_CGI_RCE	Las versiones de PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos que se ejecutan en el servidor.
PORTAL_RCE	La deserialización de datos no confiables en las versiones del portal de Liferay anteriores a 7.2.1 CE GA2 permite que los atacantes remotos ejecuten código arbitrario a través de servicios web JSON.
REDIS_RCE	Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar un código arbitrario.
SOLR_FILE_EXPOSED	La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, finalmente, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios.
SOLR_RCE	Las versiones de Apache Solr 5.0.0 a Apache Solr 8.3.1 son vulnerables a la ejecución de código remoto a través de VelocityResponseWriter si params.resource.loader.enabled se configura como verdadero. Esto permite a los atacantes crear un parámetro que contenga una plantilla de velocidad maliciosa.
STRUTS_RCE	Las versiones de Apache Struts anteriores a la 2.3.32 y 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución remota de código. La vulnerabilidad puede activarse cuando un atacante no autenticado proporciona un encabezado de tipo de contenido elaborado. El complemento REST de las versiones de Apache Struts 2.1.1 a 2.3.x anteriores a la 2.3.34 y 2.5.x anteriores a la 2.5.13 son vulnerables a la ejecución remota de código cuando se deserializan cargas útiles de XML fabricadas. Las versiones de Apache Struts 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuando siempreSelectFullNamespace se establece en verdadero y existen otras configuraciones de acción.
TOMCAT_FILE_DISCLOSURE	Las versiones de Apache Tomcat 9.x anteriores a 9.0.31, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas las 6.x son vulnerables al código fuente y la divulgación de la configuración a través de un conector de protocolo Apache JServ expuesto. En algunos casos, esto se aprovecha para ejecutar la ejecución remota de código si se permite la carga de archivos.
VBULLETIN_RCE	Los servidores vBulletin que ejecutan versiones 5.0.0 a 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud de routestring.
VCENTER_RCE	Las versiones de VMware vCenter Server 7.x anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 anteriores a 6.5 U3n son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar si un atacante sube un archivo creado con páginas del servidor Java a un directorio accesible desde la web y, luego, activa la ejecución de ese archivo.
WEBLOGIC_RCE	Ciertas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución remota de código, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883.
OS_VULNERABILITY	VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado para una VM de Compute Engine.
UNUSED_IAM_ROLE	El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no deben otorgarse a agentes de servicio.

Resultados admitidos de GCP_SECURITYCENTER_MISCONFIGURATION

Puedes encontrar la asignación de UDM en la tabla Referencia de la asignación de campos: MISCONFIGURATION.

Buscando nombre	Descripción
API_KEY_APIS_UNRESTRICTED	Hay claves de API que se usan de una forma demasiado general. Para resolver este problema, limita el uso de la clave de API para permitir solo las APIs que necesita la aplicación.
API_KEY_APPS_UNRESTRICTED	Hay claves de API que se usan de manera sin restricciones, lo que permite que cualquier app que no sea de confianza las use
API_KEY_EXISTS	Un proyecto usa claves de API en lugar de la autenticación estándar.
API_KEY_NOT_ROTATED	La clave de API no se rotó durante más de 90 días.
PUBLIC_COMPUTE_IMAGE	Una imagen de Compute Engine es de acceso público.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing está inhabilitado en una instancia de Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto.
COMPUTE_SECURE_BOOT_DISABLED	Esta VM protegida no tiene habilitado el inicio seguro. El uso del Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Una instancia está configurada para usar la cuenta de servicio predeterminada.
FULL_API_ACCESS	Se configura una instancia para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.
OS_LOGIN_DISABLED	El Acceso al SO está inhabilitado en esta instancia.
PUBLIC_IP_ADDRESS	Las instancias tienen una dirección IP pública.
SHIELDED_VM_DISABLED	La VM protegida está inhabilitada en esta instancia.
COMPUTE_SERIAL_PORTS_ENABLED	Los puertos en serie están habilitados para una instancia, lo que permite conexiones a su consola en serie.
DISK_CMEK_DISABLED	Los discos en esta VM no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
HTTP_LOAD_BALANCER	Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.
IP_FORWARDING_ENABLED	El reenvío de IP está habilitado en las instancias.
WEAK_SSL_POLICY	Una instancia tiene una política de SSL débil.
BINARY_AUTHORIZATION_DISABLED	La autorización binaria está inhabilitada en un clúster de GKE.
CLUSTER_LOGGING_DISABLED	Logging no está habilitado para un clúster de GKE.
CLUSTER_MONITORING_DISABLED	Monitoring está inhabilitado en los clústeres de GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las APIs de Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	La encriptación de Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.
INTRANODE_VISIBILITY_DISABLED	La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.
NETWORK_POLICY_DISABLED	La política de red está inhabilitada en los clústeres de GKE.
NODEPOOL_SECURE_BOOT_DISABLED	El inicio seguro está inhabilitado para un clúster de GKE.
OVER_PRIVILEGED_ACCOUNT	Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster.
OVER_PRIVILEGED_SCOPES	Una cuenta de servicio de nodo tiene permisos de acceso amplios.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy está inhabilitado en un clúster de GKE.
PRIVATE_CLUSTER_DISABLED	Un clúster de GKE tiene un clúster privado inhabilitado.
WORKLOAD_IDENTITY_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
LEGACY_AUTHORIZATION_ENABLED	La autorización heredada está habilitada en los clústeres de GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
WEB_UI_ENABLED	La IU web de GKE (panel) está habilitada.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED	La función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes, está inhabilitada.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
BIGQUERY_TABLE_CMEK_DISABLED	Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo.
DATASET_CMEK_DISABLED	Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo.
EGRESS_DENY_RULE_NOT_SET	Una regla de denegación de salida no está configurada en un firewall. Se deben establecer reglas de denegación de salida para bloquear el tráfico saliente no deseado.
FIREWALL_RULE_LOGGING_DISABLED	El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.
OPEN_CASSANDRA_PORT	Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico.
OPEN_SMTP_PORT	Un firewall está configurado para tener un puerto SMTP abierto que permite el acceso genérico.
OPEN_REDIS_PORT	Un firewall se configura para tener un puerto REDIS abierto que permite el acceso genérico.
OPEN_POSTGRESQL_PORT	Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico.
OPEN_POP3_PORT	Un firewall está configurado para tener un puerto POP3 abierto que permite el acceso genérico.
OPEN_ORACLEDB_PORT	Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_NETBIOS_PORT	Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_MYSQL_PORT	Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico.
OPEN_MONGODB_PORT	Un firewall está configurado para tener un puerto MONGODB abierto que permite el acceso genérico.
OPEN_MEMCACHED_PORT	Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.
OPEN_LDAP_PORT	Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico.
OPEN_FTP_PORT	Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico.
OPEN_ELASTICSEARCH_PORT	Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permite el acceso genérico.
OPEN_DNS_PORT	Un firewall se configura para tener un puerto DNS abierto que permite el acceso genérico.
OPEN_HTTP_PORT	Un firewall se configura para tener un puerto HTTP abierto que permite el acceso genérico.
OPEN_DIRECTORY_SERVICES_PORT	Se configura un firewall para tener un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico.
OPEN_CISCOSECURE_WEBSM_PORT	Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.
OPEN_RDP_PORT	Un firewall se configura para tener un puerto RDP abierto que permite el acceso genérico.
OPEN_TELNET_PORT	Un firewall está configurado para tener un puerto TELNET abierto que permite el acceso genérico.
OPEN_FIREWALL	Un firewall está configurado para estar abierto al acceso público.
OPEN_SSH_PORT	Un firewall se configura para tener un puerto SSH abierto que permite el acceso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION	Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe la “Separación de obligaciones”. .
NON_ORG_IAM_MEMBER	Hay un usuario que no usa credenciales de organización. Según CIS para Google Cloud Foundations 1.0, actualmente solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Un usuario tiene el rol Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de hacerlo para una cuenta de servicio específica.
ADMIN_SERVICE_ACCOUNT	Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no se deben asignar a las cuentas de servicio creadas por el usuario.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	No se rotó una clave de cuenta de servicio durante más de 90 días.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Un usuario administra una clave de cuenta de servicio.
PRIMITIVE_ROLES_USED	Un usuario tiene el rol básico: propietario, escritor o lector. Estas funciones son demasiado permisivas y no deberían usarse.
KMS_ROLE_SEPARATION	No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de los siguientes roles de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, encriptador o desencriptador.
OPEN_GROUP_IAM_MEMBER	Una cuenta de Grupos de Google que puede unirse sin aprobación se usa como principal de la política de permisos de IAM.
KMS_KEY_NOT_ROTATED	La rotación no está configurada en una clave de encriptación de Cloud KMS. Se deben rotar las claves en un período de 90 días.
KMS_PROJECT_HAS_OWNER	Un usuario tiene permisos de propietario en un proyecto con claves criptográficas.
TOO_MANY_KMS_USERS	Hay más de tres usuarios de claves criptográficas.
OBJECT_VERSIONING_DISABLED	El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.
LOCKED_RETENTION_POLICY_NOT_SET	Una política de retención bloqueada no se establece para los registros.
BUCKET_LOGGING_DISABLED	Hay un bucket de almacenamiento sin el registro habilitado.
LOG_NOT_EXPORTED	Hay un recurso que no tiene configurado un receptor de registros adecuado.
AUDIT_LOGGING_DISABLED	Se inhabilitó el registro de auditoría para este recurso.
MFA_NOT_ENFORCED	Hay usuarios que no usan la verificación en 2 pasos.
ROUTE_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios en la ruta de la red de VPC.
OWNER_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar las asignaciones o los cambios de la propiedad del proyecto.
AUDIT_CONFIG_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de auditoría.
BUCKET_IAM_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios de los roles personalizados.
FIREWALL_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios en la regla de firewall de red de la nube privada virtual (VPC).
NETWORK_NOT_MONITORED	Las métricas y alertas de registros no están configuradas para supervisar los cambios en la red de VPC.
SQL_INSTANCE_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.
DEFAULT_NETWORK	La red predeterminada existe en un proyecto.
DNS_LOGGING_DISABLED	El registro DNS en una red de VPC no está habilitado.
PUBSUB_CMEK_DISABLED	Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
PUBLIC_SQL_INSTANCE	Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.
SSL_NOT_ENFORCED	Una instancia de base de datos de Cloud SQL no requiere todas las conexiones entrantes para usar SSL.
AUTO_BACKUP_DISABLED	Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.
SQL_CMEK_DISABLED	Una instancia de base de datos de SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita o inhabilita detectores.
SQL_LOG_CHECKPOINTS_DISABLED	La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_CONNECTIONS_DISABLED	La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DISCONNECTIONS_DISABLED	La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DURATION_DISABLED	La marca de la base de datos log_duration para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_LOCK_WAITS_DISABLED	La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_STATEMENT	La marca de base de datos log_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en Ddl (todas las declaraciones de definición de datos).
SQL_NO_ROOT_PASSWORD	Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
SQL_PUBLIC_IP	Una base de datos de Cloud SQL tiene una dirección IP pública.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos skip_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) para una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	Se configuró la marca de base de datos de conexiones de usuario para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED	La marca de base de datos de opciones de usuario para una instancia de Cloud SQL para SQL Server está configurada.
PUBLIC_BUCKET_ACL	Un bucket de Cloud Storage es de acceso público.
BUCKET_POLICY_ONLY_DISABLED	No se configura el acceso uniforme a nivel de bucket, antes llamado Solo política del bucket.
BUCKET_CMEK_DISABLED	Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita los detectores.
FLOW_LOGS_DISABLED	Hay una subred de VPC que tiene registros de flujo inhabilitados.
PRIVATE_GOOGLE_ACCESS_DISABLED	Hay subredes privadas que no tienen acceso a las APIs públicas de Google.
kms_key_region_europe	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
kms_non_euro_region	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
LEGACY_NETWORK	Existe una red heredada en un proyecto.
LOAD_BALANCER_LOGGING_DISABLED	El registro está inhabilitado para el balanceador de cargas.

Resultados compatibles de GCP_SECURITYCENTER_POSTURE_VIOLATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: POSTURE VIOLATION.

Buscando nombre	Descripción
SECURITY_POSTURE_DRIFT	Se desvían de las políticas definidas dentro de la postura de seguridad. El servicio de postura de seguridad detecta esto.
SECURITY_POSTURE_POLICY_DRIFT	El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de postura.
SECURITY_POSTURE_POLICY_DELETE	El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DRIFT	El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DELETE	El servicio de postura de seguridad detectó que se borró un módulo personalizado de Security Health Analytics. Esta eliminación se produjo fuera de una actualización de postura.

Referencia de la asignación de campos

En esta sección, se explica cómo el analizador de Google Security Operations asigna los campos de registro de Security Command Center a los campos del Modelo de datos unificado (UDM) de Google Security Operations para los conjuntos de datos.

Referencia de la asignación de campos: campos de registro sin procesar a campos UDM

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los resultados de la Detección de eventos de amenazas de Security Command Center.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de la UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Si el valor del campo de registro `message` coincide con el patrón de expresión regular `kubernetes`, el campo UDM `target.resource_ancestors.resource_type` se establece en CLUSTER. De lo contrario, si el valor del campo de registro `message` coincide con la expresión regular `kubernetes.*?pods`, el campo UDM `target.resource_ancestors.resource_type` se establece en POD.
	`about.resource.attribute.cloud.environment`	El campo de UDM `about.resource.attribute.cloud.environment` se establece en `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo de UDM `extension.auth.type` se establece en `SSO`.
	`extension.mechanism`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de UDM `extension.mechanism` se establece en `USERNAME_PASSWORD`.
	`extensions.auth.type`	Si el valor del campo de registro `principal.user.user_authentication_status` es igual a `ACTIVE`, el campo de la UDM `extensions.auth.type` se establece en `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.loadBalancerName` se asigna al campo de UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de UDM `intermediary.resource.resource_type` se establece en `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo UDM `metadata.product_log_id`.
	`metadata.product_name`	El campo de UDM `metadata.product_name` se establece en `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	El campo de UDM `metadata.vendor_name` se establece en `Google`.
	`network.application_protocol`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de UDM `network.application_protocol` se establece en `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.asn` se asigna al campo de UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.carrierName` se asigna al campo de UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.reverseDnsDomain` se asigna al campo de UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseClass` se asigna al campo de UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Si el valor del campo de registro `category` coincide con la expresión regular `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseValue` se asigna al campo de UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.domainName` se asigna al campo de UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.ttl` se asigna al campo de UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseType` se asigna al campo de UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.authAnswer` se asigna al campo de UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryName` se asigna al campo de UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryType` se asigna al campo de UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseCode` se asigna al campo de UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.callerUserAgent` se asigna al campo de UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.callerUserAgent` se asigna al campo de UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` se asigna al campo de UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo UDM `network.ip_protocol` se establece en uno de los siguientes valores: `ICMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `1` o `ICMP`. `IGMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `2` o `IGMP`. `TCP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `6` o `TCP`. `UDP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `17` o `UDP`. `IP6IN4` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `41` o `IP6IN4`. `GRE` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `47` o `GRE`. `ESP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `50` o `ESP`. `EIGRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `88` o `EIGRP`. `ETHERIP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `97` o `ETHERIP`. `PIM` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `103` o `PIM`. `VRRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `112` o `VRRP`. `UNKNOWN_IP_PROTOCOL` si el valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a cualquier otro valor.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.organizationName` se asigna al campo de UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.behaviorPeriod` se asigna al campo de UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.sourceIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo de UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, entonces el campo de registro `access.callerIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.ip` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.sourceIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, si el valor del campo de registro `sourceProperties.properties.ipConnection.srcIp` no es igual a `sourceProperties.properties.indicatorContext.ipAddress`, el campo de registro `sourceProperties.properties.indicatorContext.ipAddress` se asignará al campo UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.callerIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (obsoleto)	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.scannerDomain` se asigna al campo de la UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Si el valor del campo de registro `category` coincide con la expresión regular `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.scannerDomain` se asigna al campo de la UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (obsoleto)	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` se asigna a los campos `principal.labels.key/value` y UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` se asigna al campo de UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.countryCode` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.location` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.location` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.anomalousLocation` se asigna al campo de UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcPort` se asigna al campo de UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobLink` se asigna al campo de UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` se asigna al campo de UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.jobId` se asigna al campo de UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.subnetworkName` se asigna al campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.projectId` se asigna al campo de UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `principal.resource_ancestors.name` y el campo de UDM `principal.resource_ancestors.resource_type` se establece como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la expresión regular `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Si el valor del campo de registro `sourceProperties.properties.projectId` no está vacío, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de la UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` se asigna al campo de UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.sourceInstanceDetails` se asigna al campo de UDM `principal.resource.name`.
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `serviceAccount`, el campo UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `user`, el campo UDM `principal.user.account_type` se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de UDM `principal.user.attribute.labels.key` se establece en `rawUserAgent` y el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.userEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Persistence: New Geography`, el campo de registro `access.principalEmail` se asigna al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.userEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo de registro `sourceProperties.properties.ssoState` se asigna al campo UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.userName` se asigna al campo de UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.threatIntelligenceSource` se asigna al campo de UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo de UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo de UDM `security_result.about.resource.name`. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo de UDM `security_result.about.resource.name`, y el campo de UDM `security_result.about.resource_type` se establece como `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.allowedServices.serviceName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece a `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedServices.serviceName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece a `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.accessLevels.policyName` se asigna al campo de UDM `security_result.about.resource.name` y el campo de UDM `security_result.about.resource_type` se establece a `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?security`, el campo de UDM `security_result.about.user.attribute.roles.name` se establece en `security`. Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?technical`, el campo UDM `security_result.about.user.attribute.roles.name` se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de la UDM `security_result.action` se establece en `BLOCK`. Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, y el valor del campo de registro `sourceProperties.properties.attempts.authResult` es igual a `SUCCESS`, el campo de la UDM `security_result.action` se establece en `BLOCK`. De lo contrario, el campo de la UDM `security_result.action` se establece en `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedResources.action` se asigna al campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedServices.action` se asigna al campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.allowedServices.action` se asigna al campo de UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.accessLevels.action` se asigna al campo de UDM `security_result.action_details`.
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo de UDM `security_result.alert_state` se establece en `ALERTING`. De lo contrario, el campo UDM `security_result.alert_state` se establece en `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo de UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo de UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo de UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.authResult` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_industry` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_name` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.lasthit` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.myVote` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.support_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_name` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.upVotes` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.downVotes` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, entonces el campo de UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo de UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key`, y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` se asigna al campo de UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.description` se asigna al campo de UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` se asigna al campo de UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo de UDM `security_result.priority` se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo de UDM `security_result.priority` se establece en `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.violationReason` se asigna al campo de UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo de UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `parent` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` se asigna al campo de UDM `src.resource_ancestors.name` y el campo de UDM `src.resource_ancestors.resource_type` se establece como `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `resourceName` se asigna al campo de UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolder` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.projectNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.organizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Si el valor del campo de registro `resource.type` coincide con el patrón de expresión regular `(?i)google.compute.Instance or google.container.Cluster`, el campo de registro `resource.displayName` se asigna al campo de UDM `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.projectId` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.backupId` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `src.resource.attribute.labels.key/value` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece como `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.tableId` se asigna al campo de UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo de UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.serviceName` se asigna al campo UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.domainName` se asigna al campo de UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.domains.0` se asigna al campo de UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` se asigna al campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` se asigna al campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` se asigna al campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` se asigna al campo de UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` se asigna al campo de UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.permissions` se asigna al campo de UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` se asigna al campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` se asigna al campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` se asigna al campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` se asigna al campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.roleName` se asigna al campo de UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` se asigna al campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` se asigna al campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` se asigna al campo de UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destIp` se asigna al campo de UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (obsoleto)	Si el valor del campo de registro `category` es igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.methodName` se asigna al campo UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Si el valor del campo de registro `category` es igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.methodName` se asigna al campo UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.network.location` se asigna al campo UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destPort` se asigna al campo de UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.query` se asigna al campo de UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	El campo de registro `containers.labels.name` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.key`, y el campo de registro `containers.labels.value` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.projectId` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.subnetworkName` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkName` se asigna al campo de UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkId` se asigna al campo de UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`resourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`parent`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`containers.name`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` se asigna al campo de UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name`, el campo de registro `sourceProperties.properties.vpc.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VPC_NETWORK`. De lo contrario, si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.vpcName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Increasing Deny Ratio` o `Allowed Traffic Spike`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.gceInstanceId` se asigna al campo de UDM `target.resource_ancestors.product_object_id` y el campo de UDM `target.resource_ancestors.resource_type` se establece como `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de la UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo de UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	El `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, se extrae `finding_id` del campo de registro `canonicalName` mediante un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `src.resource.product_object_id`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, se extrae `source_id` del campo de registro `canonicalName` mediante un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de UDM `target.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, se extrae `finding_id` del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `target.resource.product_object_id`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `target.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, se extrae `source_id` del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de UDM `target.resource.attribute.labels.key` se establece en `exportScope` y el campo de registro `sourceProperties.properties.exportToGcs.exportScope` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.objectName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.originalUri` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.metadataKeyOperation` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketAccess` se asigna al campo de UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`resourceName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`exfiltration.targets.name`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.instanceId` se asigna al campo de UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo de UDM `target.resource.resource_subtype`. De lo contrario, si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de UDM `target.resource.resource_subtype` se establece en `Privileged Group`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de UDM `target.resource.resource_subtype` se establece en `BigQuery`.
	`target.resource.resource_type`	Si el valor del campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionType` coincide con la expresión regular `BUCKET`, el campo de UDM `target.resource.resource_type` se establece en `STORAGE_BUCKET`. De lo contrario, si el valor del campo de registro de `category` es igual a `Brute Force: SSH`, entonces el campo de UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, entonces el campo de UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de UDM de `target.resource.resource_type` es igual a `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de UDM de `target.resource.resource_type` es igual a {/}1. De lo contrario, si el valor del campo de UDM de `target.resource.resource_type` es igual a `VIRTUAL_MACHINE`. `categoryExfiltration: BigQuery Data ExfiltrationTABLE`
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `target.url`. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo de UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.gcsUri` se asigna al campo de UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.requestUrl` se asigna al campo de UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.policyLink` se asigna al campo de UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.notSeenInLast` se asigna al campo de UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.username` se asigna al campo de UDM `target.user.userid`. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo de UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (obsoleto)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (obsoleto)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (obsoleto)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Added Binary Executed` o `Added Library Loaded`, el campo de registro `sourceProperties.VM_Instance_Name` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo de registro `sourceProperties.Backend_Service` se asigna al campo de UDM `target.resource.name`, y el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo de la UDM `target.resource.resource_type` se establece en `BACKEND_SERVICE`. Si el valor del campo de registro `category` es igual a `Configurable Bad Domain`, el campo de la UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`.
	`is_alert`	Si el valor del campo de registro `state` es igual a `ACTIVE`, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de la UDM `is_alert` se establece en `true`. De lo contrario, el campo de la UDM `is_alert` se establece en `false`.
	`is_significant`	Si el valor del campo de registro `state` es igual a `ACTIVE`, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de la UDM `is_significant` se establece en `true`. De lo contrario, el campo de la UDM `is_significant` se establece en `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok: Se extrae `user_id` del campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` y, luego, el campo `user_id` se asigna al campo de UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : se extrajo `user_id` del campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` y, luego, el campo `user_id` se asigna al campo de UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok extrae `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `region` se asigna al campo de UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok extrae `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, y el campo de registro `asset_prod_obj_id` se asigna al campo de UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` del campo de registro `resourceName`, el campo de registro `zone_suffix` se asigna al campo UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, entonces Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` del campo de registro `resourceName`, el campo de registro `project_name` se asigna al campo UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.methodName` se asigna al campo de la UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, El campo de registro `sourceProperties.properties.failedActions.methodName` es asignado al campo de UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, El campo de registro `sourceProperties.properties.failedActions.serviceName` es asignado al campo de UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, El campo de registro `sourceProperties.properties.failedActions.serviceName` es asignado al campo de UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, El campo de registro `sourceProperties.properties.failedActions.attemptTimes` es asignado al campo de UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, El campo de registro `sourceProperties.properties.failedActions.attemptTimes` es asignado al campo de UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, Campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` se asigna al campo de UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions` y, luego, Campo de registro `sourceProperties.properties.failedActions.lastOccurredTime`. se asigna al campo de UDM `additional.fields`.

Referencia de la asignación de campos: identificador de evento para tipo de evento

Identificador de evento	Tipo de evento	Categoría de seguridad
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLORA
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLORA
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Las siguientes tablas contienen los tipos de eventos y la asignación de campos de UDM para Security Command Center: clases de resultados VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.

De la categoría VULNERABILITY al tipo de evento UDM

En la siguiente tabla, se indica la categoría VULNERABILITY y sus tipos de eventos UDM correspondientes.

Identificador de evento	Tipo de evento	Categoría de seguridad
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

De la categoría MISCONFIGURATION a tipo de evento UDM

En la siguiente tabla, se muestra la categoría MISCONFIGURATION y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoría de OBSERVACIÓN al tipo de evento UDM

En la siguiente tabla, se muestra la categoría OBSERVACIÓN y sus correspondientes tipos de eventos de la AUA.

Identificador de evento	Tipo de evento
Persistencia: Se agregó la clave SSH al proyecto	SETTING_MODIFICATION
Persistencia: Agrega un rol sensible	RESOURCE_PERMISSIONS_CHANGE
Impacto: Se creó la instancia de GPU	USER_RESOURCE_CREATION
Impacto: se crearon muchas instancias	USER_RESOURCE_CREATION

Categoría ERROR a tipo de evento UDM

En la siguiente tabla, se indica la categoría ERROR y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Categoría UNSPECIFIED a tipo de evento UDM

En la siguiente tabla, se indica la categoría UNSPECIFIED y sus tipos de eventos UDM correspondientes.

Identificador de evento	Tipo de evento	Categoría de seguridad
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

POSTURE_VIOLATION al tipo de evento UDM

En la siguiente tabla, se enumera la categoría POSTURE_VIOLATION y sus correspondientes tipos de eventos de la UDM.

Identificador de evento	Tipo de evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referencia de la asignación de campos: VULNERABILITY

En la siguiente tabla, se enumeran los campos de registro de la categoría VULNERABILIDAD y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [nombre_de_fuente]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Se extrajo `region` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	Se extrajo `asset_prod_obj_id` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	Se extrajo `zone_suffix` de `resourceName` con un patrón Grok y se asignó al campo UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referencia de asignación de campos: MISCONFIGURATION

En la siguiente tabla, se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos UDM correspondientes.

Campo RawLog	Asignación de UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referencia de la asignación de campo: OBSERVATION

En la siguiente tabla, se enumeran los campos de registro de la categoría OBSERVACIÓN y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [nombre_de_elemento]
assetId	target.asset.asset_id

Referencia de la asignación de campos: ERROR

La siguiente tabla incluye los campos de registro de la categoría ERROR y sus campos UDM correspondientes.

Campo RawLog	Asignación de UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de la asignación de campo: UNSPECIFIED

La siguiente tabla incluye los campos de registro de la categoría UNSPECIFIED y sus campos UDM correspondientes.

Campo RawLog	Asignación de UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de la asignación de campo: POSTURE_VIOLATION

La siguiente tabla incluye los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.

Campo de registro	Asignación de UDM	Lógica
`finding.resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `finding.resourceName` no está vacío, el campo de registro `finding.resourceName` se asigna al campo de UDM `target.resource.name`. El campo `project_name` se extrae del campo de registro `finding.resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `resourceName` no está vacío, el campo de registro `resourceName` se asigna al campo de UDM `target.resource.name`. El campo `project_name` se extrae del campo de registro `resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `finding.cloudProvider` contiene uno de los siguientes valores, el campo de registro `finding.cloudProvider` se asigna al campo de UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `cloudProvider` contiene uno de los siguientes valores, el campo de registro `cloudProvider` se asigna al campo de UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Si el valor del campo de registro `resource.cloudProvider` contiene uno de los siguientes valores, el campo de registro `resource.cloudProvider` se asigna al campo de la UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campos comunes: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

En la siguiente tabla, se enumeran los campos comunes de las categorías VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION y TOXIC_COMBINATION de las categorías VULNERABILITY, MISCONFIGURATION, TOXIC_COMBINATION y sus campos UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels [compliance_ids]` (obsoleto)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsoleto)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsoleto)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsoleto)	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo de UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsoleto)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsoleto)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsoleto)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsoleto)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	El campo de UDM `target.resource_ancestors.resource_type` se establece en `CLUSTER`.
	`about.resource.attribute.cloud.environment`	El campo UDM `about.resource.attribute.cloud.environment` se establece como `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsoleto)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsoleto)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsoleto)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsoleto)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsoleto)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsoleto)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsoleto)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsoleto)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, el `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de la UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la expresión regular `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `serviceAccount`, el campo UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la expresión regular `user`, el campo UDM `principal.user.account_type` se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?security`, el campo de UDM `security_result.about.user.attribute.roles.name` se establece en `security`. Si el valor del campo de registro `message` coincide con la expresión regular `contacts.?technical`, el campo UDM `security_result.about.user.attribute.roles.name` se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo de UDM `security_result.alert_state` se establece en `ALERTING`. De lo contrario, el campo UDM `security_result.alert_state` se establece en `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo de UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo de UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo de UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, entonces el campo de UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo de UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key`, y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo de UDM `security_result.priority` se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo de UDM `security_result.priority` se establece en `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo de UDM `src.process.command_line`. De lo contrario, el campo de registro `database.query` se asigna al campo de UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.value`. De lo contrario, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.parentDisplayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo de la UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.parentName` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo de UDM `src.resource_ancestors.attribute.labels.key/value`. De lo contrario, el campo de registro `resource.projectDisplayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo de UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo de UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo de la UDM `src.resource.attribute.labels.value`. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de la UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.sources.components` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `resourceName` se asigna al campo de UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant` o `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (obsoleto)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsoleto)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsoleto)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsoleto)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsoleto)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsoleto)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsoleto)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsoleto)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsoleto)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsoleto)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsoleto)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsoleto)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsoleto)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsoleto)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo de UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	El `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, se extrae `finding_id` del campo de registro `canonicalName` mediante un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `src.resource.product_object_id`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, se extrae `source_id` del campo de registro `canonicalName` mediante un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de la UDM `src.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo de UDM `target.resource.attribute.labels.key/value [finding_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, se extrae `finding_id` del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `target.resource.product_object_id`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo de UDM `target.resource.attribute.labels.key/value [source_id]`. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, se extrae `source_id` del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo de UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name` y el campo de UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `exfiltration.target.name` se asigna al campo de UDM `target.resource.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.target.name` se asigna al campo de UDM `target.resource.name`. De lo contrario, el campo de registro `resourceName` se asigna al campo de UDM `target.resource.name`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RegionCode`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RemoteHost`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `UserAgent`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RequestUriPath`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo de UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.compromised_account` se asigna al campo de UDM `principal.user.userid` y el campo de UDM `principal.user.account_type` se establece en `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.project_identifier` se asigna al campo de UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.private_key_identifier` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (obsoleto)	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.action_taken` se asigna al campo de UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.action_taken` se asigna al campo de UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (obsoleto)	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.finding_type` se asigna al campo de UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.finding_type` se asigna al campo de UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.url` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.security_result.summary` se asigna al campo de UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

¿Qué sigue?

Transferencia de datos a Google Security Operations