Collecter les résultats de Security Command Center

Compatible avec :

Ce document explique comment collecter les journaux de Security Command Center en configurant Security Command Center et en insérant les résultats dans Google Security Operations. Ce document liste également les événements compatibles.

Pour en savoir plus, consultez les pages Ingestion de données dans Google Security Operations et Exporter les résultats de Security Command Center vers Google Security Operations. Un déploiement type comprend Security Command Center et le flux Google Security Operations configuré pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants :

  • Google Cloud : système à surveiller dans lequel Security Command Center est installé.

  • Résultats de la détection des menaces liées aux événements dans Security Command Center : collecte des informations à partir de la source de données et génère des résultats.

  • Google Security Operations : conserve et analyse les journaux de Security Command Center.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur Security Command Center avec les libellés d'ingestion suivants :

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

Configurer Security Command Center et Google Cloud pour envoyer les résultats à Google Security Operations

Résultats compatibles avec Event Threat Detection

Cette section liste les résultats Event Threat Detection pris en charge. Pour en savoir plus sur les règles et les résultats d'Event Threat Detection de Security Command Center, consultez la page Règles Event Threat Detection.

Nom du résultat Description
Analyse active : Log4j vulnérable à RCE Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Attaques par force brute SSH Détection d'une attaque par force brute SSH réussie sur un hôte
Accès aux identifiants : membre externe ajouté au groupe privilégié Détecte l'ajout d'un membre externe à un groupe Google privilégié (un groupe disposant de rôles ou d'autorisations sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.
Accès aux identifiants : groupe privilégié ouvert au public Détecte les modifications apportées à un groupe Google privilégié (un groupe doté de rôles ou d'autorisations sensibles) pour le rendre accessible au grand public. Pour en savoir plus, consultez Modifications non sécurisées liées aux groupes Google.
Accès aux identifiants : rôle sensible attribué au groupe hybride Détecte quand des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez Modifications non sécurisées liées aux groupes Google.
Defense Evasion : Modifier VPC Service Controls Détecte toute modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection offerte par ce périmètre.
Découverte : Vérification des objets Kubernetes sensiblesPreview Un individu malveillant a tenté de déterminer les objets sensibles dans Google Kubernetes Engine (GKE) qu'il pouvait interroger à l'aide de la commande "kubectl auth can-i get".
Découverte : Auto-enquête sur le compte de service Détection des identifiants d'un compte de service IAM (Identity and Access Management) utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Fuite : accès depuis le proxy d'anonymisation Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery Détecte les cas suivants :
  • Ressources appartenant à l'organisation protégée et enregistrées en dehors de l'organisation, y compris les opérations de copie et de transfert.
  • Tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.
Exfiltration : extraction de données BigQuery Détecte les scénarios suivants:
  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation.
  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, par le biais d'opérations d'extraction, dans un bucket Cloud Storage publiquement accessible appartenant à cette organisation.
Exfiltration : données BigQuery vers Google Drive Détecte les cas suivants :

Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.

Exfiltration : exfiltration de données Cloud SQL Détecte les scénarios suivants:
  • Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation.
  • Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Détecte le moment où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance à l'extérieur de l'organisation.
exfiltration: attribution de privilèges excessifs Cloud SQL SQL Détecte lorsqu'un utilisateur ou un rôle Cloud SQL Postgres s'est vu attribué tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Défenses diminuées : authentification forte - désactivé La validation en deux étapes a été désactivée pour l'organisation.
Défenses diminuées : Vérification en deux étapes - désactivé Un utilisateur a désactivé la validation en deux étapes.
Accès initial : piratage - compte désactivé Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.
Accès initial : fuite de mot de passe - désactivé Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.
Accès initial: Attaque de personnes malveillantes soutenues par un gouvernement Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Accès initial : tentative de compromis Log4j Détecte les recherches JNDI (Java Naming and Directory Interface) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats sont de faible gravité, car ils n’indiquent qu’une tentative de détection ou d’exploitation, et non une vulnérabilité ou un compromis.
Accès initial : connexion suspecte - bloqué Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.
Logiciel malveillant Log4j : domaine incorrect Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine malveillant Détection des logiciels malveillants en fonction d'une connexion à un domaine malveillant connu ou d'une recherche dans ce domaine.
Logiciel malveillant : adresse IP malveillante Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie Détection du minage de cryptomonnaies basée sur une connexion à un domaine de minage de cryptomonnaie connu ou sur une recherche dans ce domaine.
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie Détection du minage de cryptomonnaie à partir d'une connexion à une adresse IP de minage connue.
DoS sortant Détection du trafic de déni de service sortant
Persistance : ajout d'une clé SSH par l'administrateur Compute Engine Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : ajout d'un script de démarrage par l'administrateur Compute Engine Détection d'une modification de la valeur du script de démarrage des métadonnées d'instance Compute Engine sur une instance établie (depuis plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM Détection des privilèges accordés aux utilisateurs et aux comptes de service IAM qui ne sont pas membres de l'organisation. Ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat.
Persistance : Nouvelle méthode d'API Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie Détection des comptes utilisateur et de service IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP à l'origine des requêtes.
Persistance : Nouvel agent utilisateur Détection des comptes de service IAM qui accèdent à Google Cloud depuis des user-agents anormaux ou suspects.
Persistance: activer/désactiver l'authentification unique Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.
Persistance: paramètres SSO modifiés Les paramètres SSO du compte administrateur ont été modifiés.
Élévation des privilèges: modifications apportées aux objets Kubernetes RBAC sensibles – Aperçu Pour effectuer une élévation de droits, un individu malveillant a tenté de modifier les objets ClusterRole et ClusterRoleBinding cluster-admin à l'aide d'une requête PUT ou PATCH.
Élévation des privilèges: création d'une requête de signature de certificat Kubernetes pour le certificat principal Un individu potentiellement malveillant a créé une requête de signature de certificat (CSR) principal Kubernetes, ce qui lui donne un accès cluster-admin.
Élévation des privilèges : création de liaisons Kubernetes sensiblesPreview Un individu malveillant a tenté de créer des objets RoleBinding ou ClusterRoleBinding cluster-admin afin d'élever ses privilèges.
Élévation des privilèges: obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromisPreview Un individu malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges: lancement de l'aperçu des conteneurs Kubernetes privilégiés Un individu malveillant a créé des pods contenant des conteneurs privilégiés ou dotés de capacités d'élévation des privilèges.

Le champ "privileged" d'un conteneur privilégié est défini sur "true". Le champ "allowPrivilegeEscalation" d'un conteneur doté de capacités d'élévation des droits est défini sur "true".

Accès initial : clé de compte de service inactif créée Détecte les événements où une clé est créée pour un compte de service géré par l'utilisateur dormant. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.
Arborescence de processus Le détecteur vérifie l'arborescence de tous les processus en cours d'exécution. Si un processus est un binaire de shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat.
Shell enfant inattendu Le détecteur vérifie l'arborescence de tous les processus en cours d'exécution. Si un processus est un binaire de shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat.
Exécution: exécution du binaire malveillant ajouté Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution: exécution d'un binaire malveillant modifié Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image du conteneur, mais qui a été modifié au moment de l'exécution et a été identifié comme malveillant sur la base de la CTI.
Escalade des droits : délégation de compte de service multi-étapes anormale pour les activités d'administration Détecte les cas où une requête déléguée en plusieurs étapes anormale est détectée pour une activité d'administration.
Compte "bris de glace" utilisé : break_glass_account Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace)
Domaine incorrect configurable : APT29_Domains Détecte une connexion à un nom de domaine spécifié
Attribution de rôle inattendue: rôles interdits Détecte quand un rôle spécifié est attribué à un utilisateur
Adresse IP incorrecte configurable Détecte une connexion à une adresse IP spécifiée
Type d'instance Compute Engine inattendu Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration d'instance ou au type que vous avez spécifié.
Image source Compute Engine inattendue Détecte la création d'une instance Compute Engine qui repose sur une image ou une famille d'images ne faisant pas partie d'une liste spécifiée
Région Compute Engine inattendue Détecte la création d'une instance Compute Engine dans une région ne figurant pas dans une liste spécifiée.
Rôle personnalisé avec autorisation interdite Détecte les cas où un rôle personnalisé disposant de l'une des autorisations IAM spécifiées est accordé à un compte principal.
Appel d'API Cloud inattendu Détecte les cas où un compte principal spécifié appelle une méthode spécifiée pour une ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières correspondent dans une seule entrée de journal.

Résultats GCP_SECURITYCENTER_ERROR compatibles

Vous trouverez le mappage UDM dans le tableau Field mapping reference: ERROR (Référence sur le mappage des champs : ERROR).

Nom du résultat Description
VPC_SC_RESTRICTION L'analyse de l'état de la sécurité ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre.
MISCONFIGURED_CLOUD_LOGGING_EXPORT Le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer les résultats à Logging.
API_DISABLED Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center.
KTD_IMAGE_PULL_FAILURE Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) depuis gcr.io, l'hôte d'images de Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER Vous ne pouvez pas activer Container Threat Detection sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet DaemonSet Kubernetes requis par Container Threat Detection.

Dans la console Google Cloud, les détails de la recherche incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection.

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche l'activation réussie de Container Threat Detection sur le cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit.

Résultats GCP_SECURITYCENTER_OBSERVATION compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : OBSERVATION.

Nom du résultat Description
Persistance : clé SSH du projet ajoutée Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours.
Persistance: ajouter un rôle sensible Un rôle IAM sensible ou hautement privilégié a été attribué au niveau de l'organisation dans une organisation datant de plus de 10 jours.

Résultats GCP_SECURITYCENTER_UNSPECIFIED compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : UNSPECIFIED.

Nom du résultat Description
OPEN_FIREWALL Un pare-feu est configuré pour être ouvert à l'accès public.

Résultats GCP_SECURITYCENTER_VULNERABILITY compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : VULNERABILITY.

Nom du résultat Description
DISK_CSEK_DISABLED Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Détecteur de cas spéciaux.
ALPHA_CLUSTER_ENABLED Les fonctionnalités de cluster alpha sont activées pour un cluster GKE.
AUTO_REPAIR_DISABLED La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée.
AUTO_UPGRADE_DISABLED La fonctionnalité de mise à niveau automatique des clusters GKE, qui permet de conserver les clusters et les pools de nœuds exécutant la dernière version stable de Kubernetes, est désactivée.
CLUSTER_SHIELDED_NODES_DISABLED Les nœuds GKE protégés ne sont pas activés pour un cluster
COS_NOT_USED Les VM Compute Engine n'utilisent pas le système d'exploitation Container-Optimized OS conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.
INTEGRITY_MONITORING_DISABLED La surveillance de l'intégrité est désactivée pour un cluster GKE.
IP_ALIAS_DISABLED Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.
LEGACY_METADATA_ENABLED Les anciennes métadonnées sont activées sur les clusters GKE.
RELEASE_CHANNEL_DISABLED Un cluster GKE n'est pas abonné à une version disponible.
DATAPROC_IMAGE_OUTDATED Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par des failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228 et CVE-2021-45046).
PUBLIC_DATASET Un ensemble de données est configuré pour être ouvert au public.
DNSSEC_DISABLED DNSSEC est désactivé pour les zones Cloud DNS.
RSASHA1_FOR_SIGNING RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.
REDIS_ROLE_USED_ON_ORG Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.
KMS_PUBLIC_KEY Une clé cryptographique Cloud KMS est accessible au public.
SQL_CONTAINED_DATABASE_AUTHENTICATION L'option de base de données "contained database authentication" (authentification de la base de données autonome) d'une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée).
SQL_CROSS_DB_OWNERSHIP_CHAINING L'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_EXTERNAL_SCRIPTS_ENABLED L'indicateur de base de données "external scripts enabled" (scripts externes activés) d'une instance Cloud SQL pour SQL Server n'est pas défini sur "off" (désactivé).
SQL_LOCAL_INFILE L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée.
SQL_LOG_ERROR_VERBOSITY L'option de base de données "log_error_verbosity" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "default" ou un niveau plus strict.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED L'option de base de données log_min_duration_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1".
SQL_LOG_MIN_ERROR_STATEMENT L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie correctement.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.
SQL_LOG_MIN_MESSAGES L'option de base de données log_min_messages d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "warning".
SQL_LOG_EXECUTOR_STATS_ENABLED L'option de base de données "log_executor_status" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_HOSTNAME_ENABLED L'indicateur de base de données "log_hostname" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivé.
SQL_LOG_PARSER_STATS_ENABLED L'option de base de données "log_parser_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_PLANNER_STATS_ENABLED L'option de base de données "log_planner_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_STATEMENT_STATS_ENABLED L'option de base de données "log_statement_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_TEMP_FILES L'option de base de données "log_temp_files" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".
SQL_REMOTE_ACCESS_ENABLED L'option de base de données d'accès à distance pour une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_SKIP_SHOW_DATABASE_DISABLED L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée.
SQL_TRACE_FLAG_3625 L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas activée.
SQL_USER_CONNECTIONS_CONFIGURED L'option de base de données "user connections" (connexions utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_USER_OPTIONS_CONFIGURED L'option de base de données "user options" (options utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_WEAK_ROOT_PASSWORD Une base de données Cloud SQL possède un mot de passe peu sécurisé configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver les détecteurs.
PUBLIC_LOG_BUCKET Un bucket de stockage utilisé comme récepteur de journaux est accessible au public.
ACCESSIBLE_GIT_REPOSITORY Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.
ACCESSIBLE_SVN_REPOSITORY Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public non intentionnel au dépôt SVN.
CACHEABLE_PASSWORD_INPUT Les mots de passe saisis dans l'application Web peuvent être mis en cache dans le cache standard du navigateur plutôt que dans un espace de stockage sécurisé.
CLEAR_TEXT_PASSWORD Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur de l'en-tête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour résoudre ce problème, vérifiez que le domaine attendu correspond parfaitement à la valeur de l'en-tête "Origin" (Origine) avant de la refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals("".google.com"").
INVALID_CONTENT_TYPE Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.
INVALID_HEADER Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce résultat, définissez correctement les en-têtes de sécurité HTTP.
MISMATCHING_SECURITY_HEADER_VALUES Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.
MISSPELLED_SECURITY_HEADER_NAME Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce résultat, définissez correctement les en-têtes de sécurité HTTP.
MIXED_CONTENT Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.
OUTDATED_LIBRARY Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.
SERVER_SIDE_REQUEST_FORGERY Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.
SESSION_ID_LEAK Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans l'en-tête de requête de l'URL de provenance. Cette faille permet au domaine destinataire d'accéder à l'identifiant de session, qui peut être utilisé pour emprunter l'identité de l'utilisateur ou l'identifier de manière unique.
SQL_INJECTION Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce problème, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'influencer la structure de la requête SQL.
STRUTS_INSECURE_DESERIALIZATION L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.
XSS Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce résultat, validez et échappez les données non fiables fournies par l'utilisateur.
XSS_ANGULAR_CALLBACK Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.
XSS_ERROR Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce résultat, validez et échappez les données non fiables fournies par l'utilisateur.
XXE_REFLECTED_FILE_LEAKAGE Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour résoudre ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.
BASIC_AUTHENTICATION_ENABLED Vous devez activer l'authentification via le certificat client ou IAM sur les clusters Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes.
LABELS_NOT_USED Des libellés peuvent être utilisés pour répartir les informations de facturation.
PUBLIC_STORAGE_OBJECT La LCA de stockage d'objet ne doit pas accorder l'accès à "allUsers".
SQL_BROAD_ROOT_LOGIN L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées
WEAK_CREDENTIALS Ce détecteur vérifie les identifiants faibles à l’aide de méthodes de ncrack par force brute.

Services compatibles : SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

ELASTICSEARCH_API_EXPOSED L'API Elasticsearch permet aux appelants d'effectuer des requêtes arbitraires, d'écrire et d'exécuter des scripts et d'ajouter des documents supplémentaires au service.
EXPOSED_GRAFANA_ENDPOINT Dans Grafana 8.0.0 à 8.3.0, les utilisateurs peuvent accéder sans authentification à un point de terminaison présentant une faille de traversée de répertoires qui permet à n'importe quel utilisateur de lire n'importe quel fichier sur le serveur sans authentification. Pour en savoir plus, consultez CVE-2021-43798.
EXPOSED_METABASE Les versions x.40.0 à x.40.4 de Metabase, une plate-forme d'analyse de données Open Source, contiennent une faille dans la prise en charge des cartes GeoJSON personnalisées et une inclusion potentielle de fichiers locaux, y compris de variables d'environnement. Les URL n'ont pas été validées avant d'être chargées. Pour en savoir plus, consultez CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Ce détecteur vérifie si les points de terminaison d'actionneur sensibles des applications Spring Boot sont exposés. Certains points de terminaison par défaut, tels que /heapdump, peuvent exposer des informations sensibles. D'autres points de terminaison, tels que /env, peuvent permettre l'exécution de code à distance. Actuellement, seule l'option /heapdump est cochée.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Ce détecteur vérifie si l'API Hadoop Yarn ResourceManager, qui contrôle les ressources de calcul et de stockage d'un cluster Hadoop, est exposée et permet l'exécution de code non authentifié.
JAVA_JMX_RMI_EXPOSED Java Management Extension (JMX) permet une surveillance et des diagnostics à distance pour les applications Java. L'exécution de JMX avec un point de terminaison d'appel de méthode à distance non protégé permet à tout utilisateur distant de créer un MBean javax.management.loading.MLet et de l'utiliser pour créer de nouveaux MBean à partir d'URL arbitraires.
JUPYTER_NOTEBOOK_EXPOSED_UI Ce détecteur vérifie si un notebook Jupyter non authentifié est exposé. Jupyter permet l'exécution de code à distance à des fins de développement sur la machine hôte. Un notebook Jupyter non authentifié présente un risque d'exécution de code à distance.
KUBERNETES_API_EXPOSED L'API Kubernetes est exposée et est accessible aux appelants non authentifiés. Cela permet l'exécution de code arbitraire sur le cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION Ce détecteur vérifie si une installation WordPress est inachevée. Une installation WordPress inachevée expose la page /wp-admin/install.php, ce qui permet au pirate informatique de définir le mot de passe administrateur et, éventuellement, de compromettre le système.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Ce détecteur recherche une instance Jenkins non authentifiée en envoyant un ping de vérification au point de terminaison /view/all/newJob en tant que visiteur anonyme. Une instance Jenkins authentifiée affiche le formulaire createItem, qui permet de créer des tâches arbitraires pouvant entraîner l'exécution de code à distance.
APACHE_HTTPD_RCE Une faille a été détectée dans le serveur HTTP Apache 2.4.49 qui permet à un attaquant d'utiliser une attaque par traversée de répertoire pour mapper les URL à des fichiers situés en dehors de la racine du document attendue et voir la source des fichiers interprétés, comme les scripts CGI. Ce problème est connu pour être exploité dans le monde réel. Ce problème affecte Apache 2.4.49 et 2.4.50, mais pas les versions antérieures. Pour en savoir plus sur cette faille, consultez les pages suivantes:

Enregistrement CVE CVE-2021-41773

Failles dans Apache HTTP Server 2.4

APACHE_HTTPD_SSRF Les pirates informatiques peuvent créer un URI vers le serveur Web Apache qui entraîne la transmission de la requête par mod_proxy à un serveur d'origine choisi par le pirate informatique. Ce problème affecte le serveur HTTP Apache 2.4.48 et les versions antérieures. Pour en savoir plus sur cette faille, consultez les ressources suivantes :

Enregistrement CVE CVE-2021-40438

Failles dans Apache HTTP Server 2.4

CONSUL_RCE Les pirates informatiques peuvent exécuter du code arbitraire sur un serveur Consul, car l'instance Consul est configurée avec "-enable-script-checks" défini sur "true", et l'API HTTP Consul n'est pas sécurisée et est accessible sur le réseau. Dans Consul 0.9.0 et les versions antérieures, les vérifications des scripts sont activées par défaut. Pour en savoir plus, consultez Protéger Consul contre les risques de RCE dans des configurations spécifiques. Pour détecter cette faille, la détection rapide des failles enregistre un service sur l'instance Consul à l'aide du point de terminaison REST /v1/health/service, qui exécute ensuite l'une des actions suivantes : * Une commande curl vers un serveur distant en dehors du réseau. Un pirate informatique peut utiliser la commande curl pour exfiltrer des données du serveur. * Une commande printf. La détection rapide des failles vérifie ensuite la sortie de la commande à l'aide du point de terminaison REST /v1/health/service. * Après la vérification, Rapid Vulnerability Detection nettoie et annule l'enregistrement du service à l'aide du point de terminaison REST /v1/agent/service/deregister/.
DRUID_RCE Apache Druid permet d'exécuter du code JavaScript fourni par l'utilisateur et intégré dans divers types de requêtes. Cette fonctionnalité est destinée à être utilisée dans des environnements à haut niveau de confiance et est désactivée par défaut. Toutefois, dans Druid 0.20.0 et les versions antérieures, un utilisateur authentifié peut envoyer une requête spécialement conçue pour forcer Druid à exécuter le code JavaScript fourni par l'utilisateur pour cette requête, quelle que soit la configuration du serveur. Cela permet d'exécuter du code sur la machine cible avec les privilèges du processus du serveur Druid. Pour en savoir plus, consultez la page Détails de la CVE-2021-25646.
DRUPAL_RCE

Les versions de Drupal antérieures à 7.58, 8.x antérieures à 8.3.9, 8.4.x antérieures à 8.4.6 et 8.5.x antérieures à 8.5.1 sont vulnérables à l'exécution de code à distance sur les requêtes AJAX de l'API Form.

Les versions 8.5.x de Drupal (antérieures à 8.5.11) et 8.6.x (avant 8.6.10) sont vulnérables à l'exécution de code à distance lorsque le module RESTful Web Service ou JSON:API est activé. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'une requête POST personnalisée.

FLINK_FILE_DISCLOSURE Une faille dans les versions 1.11.0, 1.11.1 et 1.11.2 d'Apache Flink permet aux pirates informatiques de lire n'importe quel fichier dans le système de fichiers local du JobManager via l'interface REST du processus JobManager. L'accès est limité aux fichiers accessibles par le processus JobManager.
GITLAB_RCE Dans les versions 11.9 et ultérieures de GitLab Community Edition (CE) et Enterprise Edition (EE), GitLab ne valide pas correctement les fichiers image transmis à un analyseur de fichiers. Un pirate informatique peut exploiter cette faille pour exécuter des commandes à distance.
GoCD_RCE Dans GoCD 21.2.0 et versions antérieures, il existe un point de terminaison accessible sans authentification. Ce point de terminaison présente une faille de traversée de répertoire qui permet à un utilisateur de lire n’importe quel fichier sur le serveur sans authentification.
JENKINS_RCE Les versions 2.56 et antérieures de Jenkins et 2.46.1 LTS et antérieures sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique non authentifié qui utilise un objet Java sérialisé malveillant.
JOOMLA_RCE

Les versions 1.5.x, 2.x et 3.x de Joomla antérieures à la version 3.4.6 sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un en-tête personnalisé contenant des objets PHP sérialisés.

Les versions 3.0.0 à 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par l'envoi d'une requête POST contenant un objet PHP sérialisé spécialement conçu.

LOG4J_RCE Dans Apache Log4j2 2.14.1 et versions antérieures, les fonctionnalités JNDI utilisées dans les configurations, les messages de journal et les paramètres ne protègent pas contre le LDAP contrôlé par le pirate informatique et les autres points de terminaison associés à JNDI. Pour en savoir plus, consultez CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION MantisBT jusqu'à la version 2.3.0 permet la réinitialisation arbitraire du mot de passe et l'accès administrateur non authentifié en fournissant une valeur confirm_hash vide à verify.php.
OGNL_RCE Les instances de Confluence Server et Data Center contiennent une faille d'injection OGNL qui permet à un pirate informatique non authentifié d'exécuter du code arbitraire. Pour en savoir plus, consultez CVE-2021-26084.
OPENAM_RCE Le serveur OpenAM 14.6.2 et les versions antérieures, ainsi que le serveur ForgeRock AM 6.5.3 et les versions antérieures, présentent une faille liée à la désérialisation Java dans le paramètre jato.pageSession de plusieurs pages. L'exploitation ne nécessite aucune authentification, et l'exécution de code à distance peut être déclenchée en envoyant une seule requête /ccversion/* au serveur. La faille est due à l'utilisation de l'application Sun ONE. Pour en savoir plus, consultez CVE-2021-35464.
ORACLE_WEBLOGIC_RCE Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : console) contiennent une faille, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille facilement exploitable permet à un pirate informatique non authentifié disposant d'un accès réseau via HTTP de compromettre un serveur Oracle WebLogic. Les attaques réussies de cette faille peuvent entraîner une prise de contrôle d'Oracle WebLogic Server. Pour en savoir plus, consultez la page CVE-2020-14882.
PHPUNIT_RCE Les versions de PHPUnit antérieures à 5.6.3 autorisent l'exécution de code à distance avec une seule requête POST non authentifiée.
PHP_CGI_RCE Les versions PHP antérieures à 5.3.12 et les versions 5.4.x antérieures à 5.4.2, lorsqu'elles sont configurées en tant que script CGI, permettent l'exécution de code à distance. Le code vulnérable ne gère pas correctement les chaînes de requête qui n'ont pas de caractère = (signe égal). Cela permet aux attaquants d’ajouter des options de ligne de commande qui sont exécutées sur le serveur.
PORTAL_RCE La désérialisation des données non approuvées dans les versions de Liferay Portal antérieures à la version 7.2.1 CE de GA2 permet aux pirates distants d'exécuter du code arbitraire via les services Web JSON.
REDIS_RCE Si une instance Redis ne nécessite pas d'authentification pour exécuter des commandes d'administration, des pirates informatiques pourraient exécuter du code arbitraire.
SOLR_FILE_EXPOSED L'authentification n'est pas activée dans Apache Solr, un serveur de recherche Open Source. Lorsque Apache Solr n'exige pas d'authentification, un pirate informatique peut créer directement une requête pour activer une configuration spécifique, puis implémenter une falsification de requête côté serveur (SSRF) ou lire des fichiers arbitraires.
SOLR_RCE Les versions 5.0.0 à Apache Solr 8.3.1 sont vulnérables à l'exécution de code à distance via VelocityResponseWriter si params.resource.loader.enabled est défini sur "true". Cela permet aux pirates informatiques de créer un paramètre contenant un modèle Velocity malveillant.
STRUTS_RCE
  • Les versions d'Apache Struts antérieures à 2.3.32 et 2.5.x antérieures à 2.5.10.1 sont vulnérables à l'exécution de code à distance. La faille peut être déclenchée par un pirate informatique non authentifié qui fournit un en-tête Content-Type conçu.
  • Le plug-in REST des versions d'Apache Struts à partir de 2.1.1, 2.3.x antérieures à 2.3.34 et 2.5.x antérieures à 2.5.13 sont vulnérables à l'exécution de code à distance lors de la désérialisation de charges utiles XML spécialement conçues.
  • Les versions 2.3 à 2.3.34 et 2.5 à 2.5.16 d'Apache Struts sont vulnérables à l'exécution de code à distance lorsque "alwaysSelectFullNamespace" est défini sur "true" et que certaines autres configurations d'action sont présentes.
TOMCAT_FILE_DISCLOSURE Les versions 9.x d'Apache Tomcat (avant la version 9.0.31), 8.x (avant la version 8.5.51), 7.x (avant la version 7.0.100), et toutes les versions 6.x (avant la version 6.x) sont vulnérables au code source et à la divulgation de la configuration via un connecteur de protocole Apache JServ exposé. Dans certains cas, il est utilisé pour exécuter du code à distance si l'importation de fichiers est autorisée.
VBULLETIN_RCE Les serveurs vBulletin exécutant les versions 5.0.0 à 5.5.4 sont vulnérables à l'exécution de code à distance. Cette faille peut être exploitée par un pirate informatique non authentifié qui utilise un paramètre de requête dans une requête de chaîne de routage.
VCENTER_RCE Les versions 7.x antérieures à 7.0 U1c, 6.7 antérieures à 6.7 U3l et 6.5 antérieures à 6.5 U3n de VMware vCenter Server sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique qui importe un fichier de pages Java Server créé dans un répertoire accessible sur le Web, puis déclenche l'exécution de ce fichier.
WEBLOGIC_RCE Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : console) contiennent une faille d'exécution de code à distance, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille est liée à CVE-2020-14750, CVE-2020-14882 et CVE-2020-14883. Pour en savoir plus, consultez CVE-2020-14883.
OS_VULNERABILITY VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.
UNUSED_IAM_ROLE L'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service.

Résultats GCP_SECURITYCENTER_MISCONFIGURATION compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : MISCONFIGURATION.

Nom du résultat Description
API_KEY_APIS_UNRESTRICTED Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.
API_KEY_APPS_UNRESTRICTED Des clés API sont utilisées sans restriction, ce qui permet à toute application non approuvée de les utiliser
API_KEY_EXISTS Un projet utilise des clés API au lieu de l'authentification standard.
API_KEY_NOT_ROTATED La clé API n'a pas été alternée depuis plus de 90 jours
PUBLIC_COMPUTE_IMAGE Les images Compute Engine sont accessibles publiquement.
CONFIDENTIAL_COMPUTING_DISABLED L'informatique confidentielle est désactivée sur une instance Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet.
COMPUTE_SECURE_BOOT_DISABLED Le démarrage sécurisé n'est pas activé pour cette VM protégée. Le démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.
DEFAULT_SERVICE_ACCOUNT_USED Une instance est configurée pour utiliser le compte de service par défaut.
FULL_API_ACCESS Une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.
OS_LOGIN_DISABLED OS Login est désactivé sur cette instance.
PUBLIC_IP_ADDRESS Une instance possède une adresse IP publique.
SHIELDED_VM_DISABLED La VM protégée est désactivée sur cette instance.
COMPUTE_SERIAL_PORTS_ENABLED Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.
DISK_CMEK_DISABLED Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
HTTP_LOAD_BALANCER Une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.
IP_FORWARDING_ENABLED Le transfert IP est activé sur les instances.
Règle SSL faible La règle SSL d'une instance est faible.
BINARY_AUTHORIZATION_DISABLED L'autorisation binaire est désactivée sur un cluster GKE.
CLUSTER_LOGGING_DISABLED La journalisation n'est pas activée pour un cluster GKE.
CLUSTER_MONITORING_DISABLED Monitoring est désactivé sur les clusters GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED Le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.
INTRANODE_VISIBILITY_DISABLED La visibilité intranœud est désactivée pour un cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.
NETWORK_POLICY_DISABLED La stratégie de réseau est désactivée sur les clusters GKE.
NODEPOOL_SECURE_BOOT_DISABLED Le démarrage sécurisé est désactivé pour un cluster GKE.
OVER_PRIVILEGED_ACCOUNT Un compte de service dispose d'un accès trop étendu aux projets dans un cluster.
OVER_PRIVILEGED_SCOPES Un compte de service de nœud possède des niveaux d'accès étendus.
POD_SECURITY_POLICY_DISABLED PodSecurityPolicy est désactivé sur un cluster GKE.
PRIVATE_CLUSTER_DISABLED Le cluster privé est désactivé sur un cluster GKE.
WORKLOAD_IDENTITY_DISABLED Un cluster GKE n'est pas abonné à une version disponible.
LEGACY_AUTHORIZATION_ENABLED L'ancienne autorisation est activée sur les clusters GKE.
NODEPOOL_BOOT_CMEK_DISABLED Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
WEB_UI_ENABLED L'interface utilisateur Web de GKE (tableau de bord) est activée.
AUTO_REPAIR_DISABLED La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée.
AUTO_UPGRADE_DISABLED La fonctionnalité de mise à niveau automatique des clusters GKE, qui permet de conserver les clusters et les pools de nœuds exécutant la dernière version stable de Kubernetes, est désactivée.
CLUSTER_SHIELDED_NODES_DISABLED Les nœuds GKE protégés ne sont pas activés pour un cluster
RELEASE_CHANNEL_DISABLED Un cluster GKE n'est pas abonné à une version disponible.
BIGQUERY_TABLE_CMEK_DISABLED Une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur.
DATASET_CMEK_DISABLED Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur.
EGRESS_DENY_RULE_NOT_SET Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Des règles de refus du trafic sortant doivent être définies pour bloquer le trafic sortant indésirable.
FIREWALL_RULE_LOGGING_DISABLED La journalisation des règles de pare-feu est désactivée. La journalisation des règles de pare-feu doit être activée pour que vous puissiez auditer l'accès au réseau.
OPEN_CASSANDRA_PORT Un pare-feu est configuré de manière à disposer d'un port Cassandra ouvert qui autorise un accès générique.
OPEN_SMTP_PORT Un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.
OPEN_REDIS_PORT Un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.
OPEN_POSTGRESQL_PORT Un pare-feu est configuré de manière à disposer d'un port PostgreSQL ouvert qui autorise un accès générique.
OPEN_POP3_PORT Un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.
OPEN_ORACLEDB_PORT Un pare-feu est configuré avec un port NETBIOS ouvert qui autorise un accès générique.
OPEN_NETBIOS_PORT Un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.
OPEN_MYSQL_PORT Un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.
OPEN_MONGODB_PORT Un pare-feu est configuré avec un port MONGODB ouvert qui autorise un accès générique.
OPEN_MEMCACHED_PORT Un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.
OPEN_LDAP_PORT Un pare-feu est configuré de manière à disposer d’un port LDAP ouvert qui permet un accès générique.
OPEN_FTP_PORT Un pare-feu est configuré pour avoir un port FTP ouvert qui permet un accès générique.
OPEN_ELASTICSEARCH_PORT Un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise un accès générique.
OPEN_DNS_PORT Un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.
OPEN_HTTP_PORT Un pare-feu est configuré de manière à avoir un port HTTP ouvert qui permet un accès générique.
OPEN_DIRECTORY_SERVICES_PORT Un pare-feu est configuré pour disposer d'un port DIRECTORY_SERVICES ouvert qui autorise l'accès générique.
OPEN_CISCOSECURE_WEBSM_PORT Un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.
OPEN_RDP_PORT Un pare-feu est configuré de manière à disposer d'un port RDP ouvert qui autorise un accès générique.
OPEN_TELNET_PORT Un pare-feu est configuré pour avoir un port TELNET ouvert qui permet un accès générique.
OPEN_FIREWALL Un pare-feu est configuré pour être accessible au public.
OPEN_SSH_PORT Un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.
SERVICE_ACCOUNT_ROLE_SEPARATION Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches".
NON_ORG_IAM_MEMBER Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un utilisateur dispose du rôle "Utilisateur du compte de service" ou "Créateur de jetons du compte de service" au niveau du projet, et non au niveau d'un compte de service spécifique.
ADMIN_SERVICE_ACCOUNT Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.
SERVICE_ACCOUNT_KEY_NOT_ROTATED La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours.
Clé de compte de service gérée par l'utilisateur Un utilisateur gère une clé de compte de service.
PRIMITIVE_ROLES_USED Il dispose du rôle de base, Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés.
KMS_ROLE_SEPARATION La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) suivants : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.
OPEN_GROUP_IAM_MEMBER Un compte Google Groupes qui peut être joint sans approbation est utilisé comme compte principal d'une stratégie d'autorisation IAM.
KMS_KEY_NOT_ROTATED La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés tous les 90 jours.
KMS_PROJECT_HAS_OWNER Un utilisateur dispose des autorisations de propriétaire sur un projet disposant de clés cryptographiques.
Trop d'utilisateurs KMS Il existe plus de trois utilisateurs de clés cryptographiques.
OBJECT_VERSIONING_DISABLED La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.
LOCKED_RETENTION_POLICY_NOT_SET Une règle de conservation verrouillée n'est pas définie pour les journaux.
BUCKET_LOGGING_DISABLED La journalisation est désactivée dans un bucket de stockage.
LOG_NOT_EXPORTED Un récepteur de journaux approprié n'est pas configuré pour une ressource.
AUDIT_LOGGING_DISABLED Les journaux d'audit ont été désactivés pour cette ressource.
MFA_NOT_ENFORCED Certains utilisateurs n'utilisent pas la validation en deux étapes.
ROUTE_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications des routes du réseau VPC.
OWNER_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriété des projets.
AUDIT_CONFIG_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.
BUCKET_IAM_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.
FIREWALL_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu du réseau cloud privé virtuel (VPC).
NETWORK_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
SQL_INSTANCE_NOT_MONITORED Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL.
DEFAULT_NETWORK Le réseau par défaut existe dans un projet.
DNS_LOGGING_DISABLED La journalisation DNS sur un réseau VPC n'est pas activée.
PUBSUB_CMEK_DISABLED Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
PUBLIC_SQL_INSTANCE Une instance de base de données Cloud SQL accepte les connexions en provenance de toutes les adresses IP.
SSL_NOT_ENFORCED Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.
AUTO_BACKUP_DISABLED Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.
SQL_CMEK_DISABLED Une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver les détecteurs.
SQL_LOG_CHECKPOINTS_DISABLED L'option de base de données "log_checkpoints" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_CONNECTIONS_DISABLED L'option de base de données "log_connections" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_DISCONNECTIONS_DISABLED L'option de base de données "log_disconnections" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_DURATION_DISABLED L'option de base de données "log_duration" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_LOCK_WAITS_DISABLED L'option de base de données "log_lock_waits" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_STATEMENT L'option de base de données "log_statement" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "Ddl" (toutes les instructions de définition de données).
SQL_NO_ROOT_PASSWORD Dans une base de données Cloud SQL, aucun mot de passe n'est configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
SQL_PUBLIC_IP Une base de données Cloud SQL possède une adresse IP publique.
SQL_CONTAINED_DATABASE_AUTHENTICATION L'option de base de données "contained database authentication" (authentification de la base de données autonome) d'une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée).
SQL_CROSS_DB_OWNERSHIP_CHAINING L'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_LOCAL_INFILE L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée.
SQL_LOG_MIN_ERROR_STATEMENT L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie correctement.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.
SQL_LOG_TEMP_FILES L'option de base de données "log_temp_files" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".
SQL_REMOTE_ACCESS_ENABLED L'option de base de données d'accès à distance pour une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_SKIP_SHOW_DATABASE_DISABLED L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée.
SQL_TRACE_FLAG_3625 L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas activée.
SQL_USER_CONNECTIONS_CONFIGURED L'option de base de données "user connections" (connexions utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_USER_OPTIONS_CONFIGURED L'option de base de données "user options" (options utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
PUBLIC_BUCKET_ACL Un bucket Cloud Storage est accessible publiquement.
BUCKET_POLICY_ONLY_DISABLED L'accès uniforme au niveau du bucket, auparavant appelé "Stratégie du bucket seulement", n'est pas configuré.
BUCKET_CMEK_DISABLED Un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
FLOW_LOGS_DISABLED Les journaux de flux sont désactivés dans un sous-réseau VPC.
PRIVATE_GOOGLE_ACCESS_DISABLED Il existe des sous-réseaux privés sans accès aux API publiques Google.
kms_key_region_europe Conformément aux règles de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe.
kms_non_euro_region Conformément à la politique de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe.
LEGACY_NETWORK Un ancien réseau existe dans un projet.
LOAD_BALANCER_LOGGING_DISABLED La journalisation est désactivée pour l'équilibreur de charge.

Résultats GCP_SECURITYCENTER_POSTURE_VIOLATION acceptés

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : NON-CONFORMITÉ DE POSTURE.

Nom du résultat Description
SECURITY_POSTURE_DRIFT Dérivez par rapport aux stratégies définies dans la stratégie de sécurité. Ceci est détecté par le service de stratégie de sécurité.
SECURITY_POSTURE_POLICY_DRIFT Le service d'état de sécurité a détecté une modification d'une règle d'administration qui s'est produite en dehors d'une mise à jour de l'état.
SECURITY_POSTURE_POLICY_DELETE Le service de stratégie de sécurité a détecté qu'une règle d'administration a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de stratégie.
SECURITY_POSTURE_DETECTOR_DRIFT Le service de stratégie de sécurité a détecté une modification apportée à un détecteur Security Health Analytics en dehors d'une mise à jour de stratégie.
SECURITY_POSTURE_DETECTOR_DELETE Le service de stratégie de sécurité a détecté qu'un module personnalisé d'analyse de l'état de la sécurité a été supprimé. Cette suppression s'est produite en dehors d'une mise à jour de la posture.

Documentation de référence sur le mappage de champs

Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal Security Command Center aux champs de modèle de données unifié (UDM) Google Security Operations pour les ensembles de données.

Référence de mappage de champs : champs de journal bruts vers champs UDM

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les résultats de détection des menaces dans les événements de Security Command Center.

Champ "RawLog" Mappage UDM Logique
compliances.ids about.labels [compliance_ids] (obsolète)
compliances.ids additional.fields [compliance_ids]
compliances.version about.labels [compliance_version] (obsolète)
compliances.version additional.fields [compliance_version]
compliances.standard about.labels [compliances_standard] (obsolète)
compliances.standard additional.fields [compliances_standard]
connections.destinationIp about.labels [connections_destination_ip] (obsolète) Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé sur le champ UDM about.labels.value.
connections.destinationIp additional.fields [connections_destination_ip] Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé sur le champ UDM additional.fields.value.string_value.
connections.destinationPort about.labels [connections_destination_port] (obsolète)
connections.destinationPort additional.fields [connections_destination_port]
connections.protocol about.labels [connections_protocol] (obsolète)
connections.protocol additional.fields [connections_protocol]
connections.sourceIp about.labels [connections_source_ip] (obsolète)
connections.sourceIp additional.fields [connections_source_ip]
connections.sourcePort about.labels [connections_source_port] (obsolète)
connections.sourcePort additional.fields [connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type Si la valeur du champ de journal message correspond au modèle d'expression régulière kubernetes, le champ UDM target.resource_ancestors.resource_type est défini sur CLUSTER.
Sinon, si la valeur du champ de journal message correspond à l'expression régulière kubernetes.*?pods, le champ UDM target.resource_ancestors.resource_type est défini sur POD.
about.resource.attribute.cloud.environment Le champ UDM about.resource.attribute.cloud.environment est défini sur GOOGLE_CLOUD_PLATFORM.
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.pods.containers.createTime target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type Si la valeur du champ de journal category est Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, alors le champ UDM extension.auth.type est défini sur SSO.
extension.mechanism Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ UDM extension.mechanism est défini sur USERNAME_PASSWORD.
extensions.auth.type Si la valeur du champ de journal principal.user.user_authentication_status est égale à ACTIVE, le champ UDM extensions.auth.type est défini sur SSO.
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsolète)
vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsolète)
vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsolète)
vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsolète)
vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsolète)
vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsolète)
vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsolète)
vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsolète)
vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsolète)
vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsolète)
vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ de journal sourceProperties.properties.loadBalancerName est mappé au champ UDM intermediary.resource.name.
intermediary.resource.resource_type Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ UDM intermediary.resource.resource_type est défini sur BACKEND_SERVICE.
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Si la valeur du champ de journal canonicalName n'est pas vide, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.

Si la valeur du champ de journal finding_id est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé avec le champ UDM metadata.product_log_id.

Si la valeur du champ de journal canonicalName est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé avec le champ UDM metadata.product_log_id.
metadata.product_name Le champ UDM metadata.product_name est défini sur Security Command Center.
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name Le champ UDM metadata.vendor_name est défini sur Google.
network.application_protocol Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ UDM network.application_protocol est défini sur DNS.
sourceProperties.properties.indicatorContext.asn network.asn Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.indicatorContext.asn est mappé au champ UDM network.asn.
sourceProperties.properties.indicatorContext.carrierName network.carrier_name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.indicatorContext.carrierName est mappé au champ UDM network.carrier_name.
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.reverseDnsDomain est mappé sur le champ UDM network.dns_domain.
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseClass est mappé au champ UDM network.dns.answers.class.
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data Si la valeur du champ de journal category correspond à l'expression régulière Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseValue est mappé sur le champ UDM network.dns.answers.data.
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.domainName est mappé sur le champ UDM network.dns.answers.name.
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.ttl est mappé au champ UDM network.dns.answers.ttl.
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type Si la valeur du champ de journal category est égale à Malware: Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseData.responseType est mappé au champ UDM network.dns.answers.type.
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.authAnswer est mappé sur le champ UDM network.dns.authoritative.
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.queryName est mappé sur le champ UDM network.dns.questions.name.
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.queryType est mappé sur le champ UDM network.dns.questions.type.
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.responseCode est mappé sur le champ UDM network.dns.response_code.
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.callerUserAgent est mappé au champ UDM network.http.user_agent.
sourceProperties.properties.callerUserAgent network.http.user_agent Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.callerUserAgent est mappé sur le champ UDM network.http.user_agent.
access.userAgentFamily network.http.user_agent
finding.access.userAgent network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent est mappé sur le champ UDM network.http.user_agent.
sourceProperties.properties.ipConnection.protocol network.ip_protocol Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ UDM network.ip_protocol est défini sur l'une des valeurs suivantes:
  • ICMP lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 1 ou ICMP.
  • IGMP lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 2 ou IGMP.
  • TCP lorsque la condition suivante est remplie:
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 6 ou TCP.
  • UDP lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 17 ou UDP.
  • IP6IN4 lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 41 ou IP6IN4.
  • GRE lorsque la condition suivante est remplie:
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 47 ou GRE.
  • ESP lorsque la condition suivante est remplie:
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 50 ou ESP.
  • EIGRP lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 88 ou EIGRP.
  • ETHERIP lorsque la condition suivante est remplie:
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 97 ou ETHERIP.
  • PIM lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 103 ou PIM.
  • VRRP lorsque la condition suivante est remplie :
    • La valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à 112 ou VRRP.
  • UNKNOWN_IP_PROTOCOL si la valeur du champ de journal sourceProperties.properties.ipConnection.protocol est égale à une autre valeur.
    sourceProperties.properties.indicatorContext.organizationName network.organization_name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.organizationName est mappé sur le champ UDM network.organization_name.
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.behaviorPeriod est mappé sur le champ UDM network.session_duration.
    sourceProperties.properties.sourceIp principal.ip Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.sourceIp est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.attempts.sourceIp principal.ip Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.sourceIp est mappé sur le champ UDM principal.ip.
    access.callerIp principal.ip Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, access.callerIp, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.callerIp est mappé au champ UDM principal.ip.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.changeFromBadIp.ip principal.ip Si la valeur du champ de journal category est égale à Evasion: Access from Anonymizing Proxy, le champ de journal sourceProperties.properties.changeFromBadIp.ip est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.dnsContexts.sourceIp principal.ip Si la valeur du champ de journal category est égale à Malware: Bad Domain ou Malware: Cryptomining Bad Domain, le champ de journal sourceProperties.properties.dnsContexts.sourceIp est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.ipConnection.srcIp principal.ip Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.srcIp est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, alors si la valeur du champ de journal sourceProperties.properties.ipConnection.srcIp n'est pas égale à sourceProperties.properties.indicatorContext.ipAddress, le champ de journal sourceProperties.properties.indicatorContext.ipAddress est mappé au champ UDM principal.ip.
    sourceProperties.properties.anomalousLocation.callerIp principal.ip Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.callerIp est mappé sur le champ UDM principal.ip.
    sourceProperties.properties.scannerDomain principal.labels [sourceProperties_properties_scannerDomain] (obsolète) Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.scannerDomain est mappé au champ UDM principal.labels.key/value.
    sourceProperties.properties.scannerDomain additional.fields [sourceProperties_properties_scannerDomain] Si la valeur du champ de journal category correspond à l'expression régulière Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.scannerDomain est mappé sur le champ UDM additional.fields.value.string_value.
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState] (obsolète) Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobState est mappé sur le champ principal.labels.key/value et le champ UDM.
    sourceProperties.properties.dataExfiltrationAttempt.jobState additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobState est mappé au champ UDM additional.fields.value.string_value.
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.indicatorContext.countryCode est mappé sur le champ UDM principal.location.country_or_region.
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.job.location est mappé au champ UDM principal.location.country_or_region.
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.job.location est mappé sur le champ UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region Si la valeur du champ de journal category est égale à Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier est mappé sur le champ UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.anomalousLocation.anomalousLocation est mappé sur le champ UDM principal.location.name.
    sourceProperties.properties.ipConnection.srcPort principal.port Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.srcPort est mappé sur le champ UDM principal.port.
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé sur le champ UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.jobLink est mappé sur le champ UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.job.jobId est mappé au champ UDM principal.process.pid.
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.job.jobId est mappé sur le champ UDM principal.process.pid.
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.srcVpc.subnetworkName est mappé sur le champ UDM principal.resource_ancestors.attribute.labels.value.
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.srcVpc.projectId est mappé sur le champ UDM principal.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé avec le champ UDM principal.resource_ancestors.name, et le champ UDM principal.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Si la valeur du champ de journal message correspond à l'expression régulière sourceProperties.sourceId.*?customerOrganizationNumber, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé sur le champ UDM principal.resource.attribute.labels.key/value.
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name Si la valeur du champ de journal sourceProperties.properties.projectId n'est pas vide, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM principal.resource.name.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId est mappé au champ UDM principal.resource.name.
    sourceProperties.properties.sourceInstanceDetails principal.resource.name Si la valeur du champ de journal category est égale à Malware: Outgoing DoS, le champ de journal sourceProperties.properties.sourceInstanceDetails est mappé au champ UDM principal.resource.name.
    principal.user.account_type Si la valeur du champ de journal access.principalSubject correspond à l'expression régulière serviceAccount, le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.

    Sinon, si la valeur du champ de journal access.principalSubject correspond à l'expression régulière user, le champ UDM principal.user.account_type est défini sur CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ UDM principal.user.attribute.labels.key est défini sur rawUserAgent et le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent est mappé sur le champ UDM principal.user.attribute.labels.value.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Discovery: Service Account Self-Investigation, le champ de journal sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail est mappé au champ UDM principal.user.email_addresses.
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Evasion: Access from Anonymizing Proxy, le champ de journal sourceProperties.properties.changeFromBadIp.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.userEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ de journal sourceProperties.properties.principalEmail est mappé sur le champ UDM principal.user.email_addresses.

    Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal sourceProperties.properties.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    access.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization ou Persistence: New Geography, le champ de journal access.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.principalEmail est mappé au champ UDM principal.user.email_addresses.
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.principalEmail est mappé au champ UDM principal.user.email_addresses.
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.principalEmail est mappé au champ UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail est mappé au champ UDM principal.user.email_addresses.
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail est mappé sur le champ UDM principal.user.email_addresses.
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.vpcViolation.userEmail est mappé au champ UDM principal.user.email_addresses.
    sourceProperties.properties.ssoState principal.user.user_authentication_status Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Two Step Verification Disabled ou Persistence: SSO Enablement Toggle, le champ de journal sourceProperties.properties.ssoState est mappé au champ UDM principal.user.user_authentication_status.
    database.userName principal.user.userid Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.userName est mappé au champ UDM principal.user.userid.
    sourceProperties.properties.threatIntelligenceSource security_result.about.application Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.threatIntelligenceSource est mappé sur le champ UDM security_result.about.application.
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.sourceIp est mappé au champ UDM security_result.about.ip.
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName est mappé au champ UDM security_result.about.resource.name.

    Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.restrictedResources.resourceName est mappé avec le champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur CLOUD_PROJECT.
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.allowedServices.serviceName est mappé avec le champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur BACKEND_SERVICE.
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.restrictedServices.serviceName est mappé sur le champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur BACKEND_SERVICE.
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.delta.accessLevels.policyName est mappé avec le champ UDM security_result.about.resource.name et le champ UDM security_result.about.resource_type est défini sur ACCESS_POLICY.
    security_result.about.user.attribute.roles.name Si la valeur du champ de journal message correspond à l'expression régulière contacts.?security, le champ UDM security_result.about.user.attribute.roles.name est défini sur security.

    Si la valeur du champ de journal message correspond à l'expression régulière contacts.?technical, le champ UDM security_result.about.user.attribute.roles.name est défini sur Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ UDM security_result.action est défini sur BLOCK.

    Si la valeur du champ de journal category est égale à Brute Force: SSH, et si la valeur du champ de journal sourceProperties.properties.attempts.authResult est égale à SUCCESS, le champ UDM security_result.action est défini sur BLOCK.

    Sinon, le champ UDM security_result.action est défini sur BLOCK.
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.restrictedResources.action est mappé au champ UDM security_result.action_details.
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.restrictedServices.action est mappé sur le champ UDM security_result.action_details.
    sourceProperties.properties.delta.allowedServices.action security_result.action_details Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.allowedServices.action est mappé au champ UDM security_result.action_details.
    sourceProperties.properties.delta.accessLevels.action security_result.action_details Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.delta.accessLevels.action est mappé au champ UDM security_result.action_details.
    security_result.alert_state Si la valeur du champ de journal state est égale à ACTIVE, le champ UDM security_result.alert_state est défini sur ALERTING.

    Sinon, le champ UDM security_result.alert_state est défini sur NOT_ALERTING.
    findingClass security_result.catgory_details Le champ de journal findingClass - category est mappé avec le champ UDM security_result.catgory_details.
    category security_result.catgory_details Le champ de journal findingClass - category est mappé avec le champ UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteInitiator est mappé sur le champ UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteUpdateTimer est mappé sur le champ UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] Si la valeur du champ de journal category est égale à Persistence: New User Agent, le champ de journal sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.authResult est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.indicatorType est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs est mappé au champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.customer_industry est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.customer_name est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.lasthit est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id est mappé au champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.myVote est mappé au champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.support_id est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_class_id est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_id est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id est mappé au champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.tag_name est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.upVotes est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.downVotes est mappé au champ UDM security_result.detection_fields.value.
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, le champ UDM security_result.detection_fields.key est défini sur sourceProperties_contextUris_relatedFindingUri_url et le champ de journal sourceProperties.contextUris.relatedFindingUri.url est mappé sur le champ UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName est mappé avec le champ UDM security_result.detection_fields.key, et le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.url est mappé avec le champ UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.contextUris.workspacesUri.displayName est mappé sur le champ UDM security_result.detection_fields.key, et le champ de journal sourceProperties.contextUris.workspacesUri.url est mappé sur le champ UDM security_result.detection_fields.key/value.
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.public_tag_name est mappé au champ UDM intermediary.labels.key.
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.tags.description est mappé sur le champ UDM intermediary.labels.value.
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] Si la valeur du champ de journal category est égale à Malware: Bad IP, le champ de journal sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal est mappé au champ UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Si la valeur du champ de journal sourceProperties.detectionPriority est égale à HIGH, le champ UDM security_result.priority est défini sur HIGH_PRIORITY.

    Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à MEDIUM, le champ UDM security_result.priority est défini sur MEDIUM_PRIORITY.

    Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à LOW, le champ UDM security_result.priority est défini sur LOW_PRIORITY.
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Exfiltration, le champ de journal sourceProperties.properties.vpcViolation.violationReason est mappé sur le champ UDM security_result.summary.
    name security_result.url_back_to_product
    database.query src.process.command_line Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.query est mappé sur le champ UDM src.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolderDisplayName est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentDisplayName est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentName est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.projectDisplayName est mappé au champ UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri est mappé au champ UDM src.resource_ancestors.attribute.labels.value.
    parent src.resource_ancestors.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal parent est mappé sur le champ UDM src.resource_ancestors.name.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId est mappé sur le champ UDM src.resource_ancestors.name et le champ UDM src.resource_ancestors.resource_type est défini sur TABLE.
    resourceName src.resource_ancestors.name Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal resourceName est mappé sur le champ UDM src.resource_ancestors.name.
    resource.folders.resourceFolder src.resource_ancestors.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolder est mappé sur le champ UDM src.resource_ancestors.name.
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé sur le champ UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.projectNumber est mappé sur le champ UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.sourceId.organizationNumber est mappé sur le champ UDM src.resource_ancestors.product_object_id.
    resource.type src.resource_ancestors.resource_subtype Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé sur le champ UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.displayName est mappé sur le champ UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ UDM src.resource.attribute.labels.key est défini sur grantees et le champ de journal database.grantees est mappé avec le champ UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé sur le champ UDM src.resource.attribute.labels.value.
    resource.displayName principal.hostname Si la valeur du champ de journal resource.type correspond au modèle d'expression régulière (?i)google.compute.Instance or google.container.Cluster, le champ de journal resource.displayName est mappé sur le champ UDM principal.hostname.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé sur le champ UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.datasetId est mappé sur le champ UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.projectId est mappé sur le champ UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.resourceUri est mappé sur le champ UDM src.resource.attribute.labels.value.
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.backupId est mappé au champ UDM src.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal src.resource.attribute.labels.key/value est mappé sur le champ UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Si la valeur du champ de journal category est Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.sources.name est mappé avec le champ UDM src.resource.name, et le champ de journal resourceName est mappé avec le champ UDM src.resource_ancestors.name.
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource est mappé sur le champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL.
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource est mappé au champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.cloudsqlInstanceResource est mappé au champ UDM src.resource.name et le champ UDM src.resource.resource_subtype est défini sur CloudSQL.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.sources.name est mappé sur le champ UDM src.resource.name et le champ de journal resourceName est mappé sur le champ UDM src.resource_ancestors.name.
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.sourceTable.tableId est mappé sur le champ UDM src.resource.product_object_id.
    access.serviceName target.application Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.serviceName est mappé sur le champ UDM target.application.
    sourceProperties.properties.serviceName target.application Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Impair Defenses: Two Step Verification Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.serviceName est mappé sur le champ UDM target.application.
    sourceProperties.properties.domainName target.domain.name Si la valeur du champ de journal category est égale à Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.domainName est mappé sur le champ UDM target.domain.name.
    sourceProperties.properties.domains.0 target.domain.name Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.domains.0 est mappé sur le champ UDM target.domain.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action est mappé sur le champ UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action est mappé au champ UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member est mappé sur le champ UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member est mappé sur le champ UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin est mappé sur le champ UDM target.group.attribute.permissions.name.
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.permissions est mappé au champ UDM target.group.attribute.permissions.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName est mappé au champ UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role est mappé au champ UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role est mappé au champ UDM target.group.attribute.roles.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName est mappé sur le champ UDM target.group.attribute.roles.name.
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name Si la valeur du champ de journal category est égale à Persistence: IAM Anomalous Grant, le champ de journal sourceProperties.properties.customRoleSensitivePermissions.roleName est mappé au champ UDM target.group.attribute.roles.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName est mappé au champ UDM target.group.group_display_name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.groupName est mappé au champ UDM target.group.group_display_name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name Si la valeur du champ de journal category est égale à Credential Access: Sensitive Role Granted To Hybrid Group, le champ de journal sourceProperties.properties.sensitiveRoleToHybridGroup.groupName est mappé sur le champ UDM target.group.group_display_name.
    sourceProperties.properties.ipConnection.destIp target.ip Si la valeur du champ de journal category est égale à Malware: Bad IP, Malware: Cryptomining Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.destIp est mappé sur le champ UDM target.ip.
    access.methodName target.labels [access_methodName] (obsolète)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsolète)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsolète)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsolète)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsolète)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsolète)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsolète)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsolète)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsolète)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsolète)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsolète)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsolète)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsolète)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsolète)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels [sourceProperties_properties_methodName] (obsolète) Si la valeur du champ de journal category est égale à Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.methodName est mappé sur le champ UDM target.labels.value.
    sourceProperties.properties.methodName additional.fields [sourceProperties_properties_methodName] Si la valeur du champ de journal category est égale à Impair Defenses: Strong Authentication Disabled, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.properties.methodName est mappé au champ UDM additional.fields.value.string_value.
    sourceProperties.properties.network.location target.location.name Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad IP, Malware: Cryptomining Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.network.location est mappé sur le champ UDM target.location.name.
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Outgoing DoS, le champ de journal sourceProperties.properties.ipConnection.destPort est mappé sur le champ UDM target.port.
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.query est mappé au champ UDM target.process.command_line.
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] Le champ de journal containers.labels.name est mappé avec le champ UDM target.resource_ancestors.attribute.labels.key, et le champ de journal containers.labels.value est mappé avec le champ UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.projectId est mappé sur le champ UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP ou Malware: Bad IP, le champ de journal sourceProperties.properties.destVpc.subnetworkName est mappé sur le champ UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.network.subnetworkName est mappé sur le champ UDM target.resource_ancestors.value.
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] Si la valeur du champ de journal category est égale à Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.properties.network.subnetworkId est mappé sur le champ UDM target.resource_ancestors.value.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.properties.vpcName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    resourceName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.properties.projectId target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    parent target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name Si la valeur du champ de journal category est égale à Malware: Cryptomining Bad IP, Malware: Bad IP, Malware: Cryptomining Bad Domain, Malware: Bad Domain ou Configurable Bad Domain, le champ de journal sourceProperties.properties.destVpc.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VPC_NETWORK.

    Sinon, si la valeur du champ de journal category est égale à Active Scan: Log4j Vulnerable to RCE, le champ de journal sourceProperties.properties.vpcName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Increasing Deny Ratio ou Allowed Traffic Spike, le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    containers.name target.resource_ancestors.name Si la valeur du champ category de journal category est Malware: Cryptomining Bad IP, Malware: Bad IP ou Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, le champ sourceProperties.properties.destVpc.vpcName de journal sourceProperties.properties.destVpc.vpcName est mappé au champ target.resource_ancestors.name UDM target.resource_ancestors.name, et le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ target.resource_ancestors.nameUDM UDM et le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ target.resource_ancestors.nameUDM UDM et le champ target.resource_ancestors.resource_typeUDM UDM est défini sur VPC_NETWORK.





    .categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type



    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name Si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ de journal sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource est mappé au champ UDM target.resource_ancestors.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name Si la valeur du champ de journal category est égale à Credential Access: Privileged Group Opened To Public, le champ de journal sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource est mappé au champ UDM target.resource_ancestors.name.
    kubernetes.pods.containers.name target.resource_ancestors.name Si la valeur du champ category de journal category est Malware: Cryptomining Bad IP, Malware: Bad IP ou Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad Domain ou Malware: Bad Domain ou Configurable Bad Domain, le champ sourceProperties.properties.destVpc.vpcName de journal sourceProperties.properties.destVpc.vpcName est mappé au champ target.resource_ancestors.name UDM target.resource_ancestors.name, et le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ target.resource_ancestors.nameUDM UDM et le champ de journal sourceProperties.properties.vpc.vpcName est mappé au champ target.resource_ancestors.nameUDM UDM et le champ target.resource_ancestors.resource_typeUDM UDM est défini sur VPC_NETWORK.





    .categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type



    Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ de journal sourceProperties.properties.gceInstanceId est mappé avec le champ UDM target.resource_ancestors.product_object_id, et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    containers.imageId target.resource_ancestors.product_object_id Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added Startup Script ou Persistence: GCE Admin Added SSH Key, le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.zone est mappé au champ UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.

    Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM src.resource.attribute.labels.key/value [finding_id].

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM src.resource.product_object_id.

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM src.resource.attribute.labels.key/value [source_id].

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM target.resource.attribute.labels.key/value [finding_id].

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM target.resource.product_object_id.

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM target.resource.attribute.labels.key/value [source_id].

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId est mappé sur le champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId est mappé sur le champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri est mappé au champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ UDM target.resource.attribute.labels.key est défini sur exportScope et le champ de journal sourceProperties.properties.exportToGcs.exportScope est mappé avec le champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.objectName est mappé sur le champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.originalUri est mappé sur le champ UDM target.resource.attribute.labels.value.
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] Si la valeur du champ de journal category est égale à Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.metadataKeyOperation est mappé sur le champ UDM target.resource.attribute.labels.key/value.
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.targets.components est mappé sur le champ UDM target.resource.attribute.labels.key/value.
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketAccess est mappé au champ UDM target.resource.attribute.permissions.name.
    sourceProperties.properties.name target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    resourceName target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.attempts.vmName target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.instanceDetails target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.bucketResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Restore Backup to External Organization, le champ de journal sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.vmName est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à "Logiciel malveillant : domaine incorrect" ou à Malware: Bad IP ou à Malware: Cryptomining Bad IP ou à Malware: Cryptomining Bad Domain ou à Configurable Bad Domain, le champ de journal sourceProperties.properties.instanceDetails est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name, et le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction ou à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé sur le champ UDM target.resource.attribute.name et le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ de journal exfiltration.target.name est mappé sur le champ UDM target.resource.name et le champ de journal sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId est mappé sur le champ UDM target.resource.attribute.labels, et le champ UDM target.resource.resource_type est défini sur TABLE.

    Sinon, le champ de journal resourceName est mappé sur le champ UDM target.resource.name.
    exfiltration.targets.name target.resource.name Si la valeur du champ de journal category de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.name est mappé au champ target.resource.nameUDM UDM.

    Si,categorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name











    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceId target.resource.product_object_id Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.instanceId est mappé sur le champ UDM target.resource.product_object_id.
    kubernetes.pods.containers.imageId target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype Si la valeur du champ de journal category est Exfiltration: BigQuery Data Extraction ou Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionName est mappé au champ UDM target.resource.resource_subtype.

    Sinon, si la valeur du champ de journal category est égale à Credential Access: External Member Added To Privileged Group, le champ UDM target.resource.resource_subtype est défini sur Privileged Group.

    Sinon, si la valeur du champ de journal category est Exfiltration: BigQuery Data Exfiltration, le champ UDM target.resource.resource_subtype est défini sur BigQuery.
    target.resource.resource_type Si la valeur du champ de journal sourceProperties.properties.extractionAttempt.destinations.collectionType correspond à l'expression régulière BUCKET, le champ UDM target.resource.resource_type est défini sur STORAGE_BUCKET.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.

    Sinon, si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration, le champ UDM target.resource.resource_type est défini sur TABLE.
    sourceProperties.properties.extractionAttempt.jobLink target.url Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé avec le champ UDM target.url.

    Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, le champ de journal sourceProperties.properties.extractionAttempt.jobLink est mappé avec le champ UDM target.url.
    sourceProperties.properties.exportToGcs.gcsUri target.url Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration, le champ de journal sourceProperties.properties.exportToGcs.gcsUri est mappé au champ UDM target.url.
    sourceProperties.properties.requestUrl target.url Si la valeur du champ de journal category est égale à Initial Access: Log4j Compromise Attempt, le champ de journal sourceProperties.properties.requestUrl est mappé sur le champ UDM target.url.
    sourceProperties.properties.policyLink target.url Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, le champ de journal sourceProperties.properties.policyLink est mappé au champ UDM target.url.
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] Si la valeur du champ de journal category est égale à Persistence: New Geography, le champ de journal sourceProperties.properties.anomalousLocation.notSeenInLast est mappé sur le champ UDM target.user.attribute.labels.value.
    sourceProperties.properties.attempts.username target.user.userid Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.attempts.username est mappé avec le champ UDM target.user.userid.

    Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal userid est mappé avec le champ UDM target.user.userid.
    sourceProperties.properties.principalEmail target.user.userid Si la valeur du champ de journal category est égale à Initial Access: Suspicious Login Blocked, le champ de journal userid est mappé sur le champ UDM target.user.userid.
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels [Environment_Variables_name] (obsolète)
    sourceProperties.Environment_Variables additional.fields [Environment_Variables_name]
    target.labels [Environment_Variables_val] (obsolète)
    additional.fields [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels [sourceProperties_Process_Creation_Timestamp_nanos] (obsolète)
    sourceProperties.Process_Creation_Timestamp.nanos additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels [sourceProperties_Process_Creation_Timestamp_seconds] (obsolète)
    sourceProperties.Process_Creation_Timestamp.seconds additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name Si la valeur du champ de journal category est égale à Added Binary Executed ou Added Library Loaded, le champ de journal sourceProperties.VM_Instance_Name est mappé sur le champ UDM target.resource_ancestors.name et le champ UDM target.resource_ancestors.resource_type est défini sur VIRTUAL_MACHINE.
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name Si la valeur du champ de journal category est égale à Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, le champ de journal sourceProperties.Backend_Service est mappé sur le champ UDM target.resource.name et le champ de journal resourceName est mappé sur le champ UDM target.resource_ancestors.name.
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type Si la valeur du champ de journal category est égale à Increasing Deny Ratio, Allowed Traffic Spike ou Application DDoS Attack Attempt, le champ UDM target.resource.resource_type est défini sur BACKEND_SERVICE.

    Si la valeur du champ de journal category est égale à Configurable Bad Domain, le champ UDM target.resource.resource_type est défini sur VIRTUAL_MACHINE.
    is_alert Si la valeur du champ de journal state est égale à ACTIVE, si la valeur du champ mute_is_not_present n'est pas égale à "true" et si la valeur du champ de journal mute est égale à UNMUTED ou à UNDEFINED, le champ UDM is_alert est défini sur true. Sinon, il est défini sur false.
    is_significant Si la valeur du champ de journal state est égale à ACTIVE, si la valeur du champ mute_is_not_present n'est pas égale à "true" et si la valeur du champ de journal mute est égale à UNMUTED ou à UNDEFINED, le champ UDM is_significant est défini sur true. Sinon, il est défini sur false.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok : user_id a été extrait du champ de journal sourceProperties.properties.sensitiveRoleGrant.principalEmail, puis le champ user_id est mappé au champ UDM principal.user.userid.
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok : user_id a été extrait du champ de journal sourceProperties.properties.customRoleSensitivePermissions.principalEmail, puis le champ user_id est mappé au champ UDM principal.user.userid.
    resourceName principal.asset.location.name Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, alors Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id à partir du champ de journal resourceName, le champ de journal region est mappé au champ UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName. Le champ de journal asset_prod_obj_id est ensuite mappé sur le champ UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, Grok extrait project_name, region, zone_suffix et asset_prod_obj_id du champ de journal resourceName. Le champ de journal zone_suffix est alors mappé sur le champ UDM principal.asset.attribute.cloud.availability_zone.
    resourceName principal.asset.attribute.labels[project_name] Si la valeur du champ de journal parentDisplayName est égale à Virtual Machine Threat Detection, alors Grok : Extracted project_name, region, zone_suffix, asset_prod_obj_id à partir du champ de journal resourceName, le champ de journal project_name est mappé au champ UDM principal.asset.attribute.labels.value.
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.methodName est mappé sur le champ UDM target.labels.
    additional.fields[failedActions_methodName] sourceProperties.properties.failedActions.methodName Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.methodName est mappé sur le champ UDM additional.fields.
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.serviceName est mappé sur le champ UDM target.labels.
    additional.fields[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.serviceName est mappé sur le champ UDM additional.fields.
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.attemptTimes est mappé sur le champ UDM target.labels.
    additional.fields[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, le champ de journal sourceProperties.properties.failedActions.attemptTimes est mappé sur le champ UDM additional.fields.
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, puis le Champ de journal sourceProperties.properties.failedActions.lastOccurredTime est mappée avec le champ UDM target.labels.
    additional.fields[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Si la valeur du champ de journal category est égale à Initial Access: Excessive Permission Denied Actions, puis le sourceProperties.properties.failedActions.lastOccurredTime. est mappée avec le champ UDM additional.fields.

    Référence de mappage de champ : identifiant d'événement vers type d'événement

    Identifiant de l'événement Event Type Catégorie de sécurité
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED EXPLOIT
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED EXPLOITATION
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    Les tableaux suivants contiennent les types d'événements UDM et la mise en correspondance des champs UDM pour les classes de résultats VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED et POSTURE_VIOLATION de Security Command Center.

    De la catégorie VULNERABILITY au type d'événement UDM

    Le tableau suivant répertorie la catégorie VULNERABILITÉ et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type Catégorie de sécurité
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK EXPLOITATION
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED
    SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS

    Convertir la catégorie MISCONFIGURATION en type d'événement UDM

    Le tableau suivant liste la catégorie "MISCONFIGURATION" et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    Règle SSL faible SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    Clé de compte de service gérée par l'utilisateur SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    Trop d'utilisateurs KMS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    Catégorie "OBSERVATION" au type d'événement UDM

    Le tableau suivant liste la catégorie "OBSERVATION" et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type
    Persistance: clé SSH du projet ajoutée SETTING_MODIFICATION
    Persistance : ajouter un rôle sensible RESOURCE_PERMISSIONS_CHANGE
    Impact: instance GPU créée USER_RESOURCE_CREATION
    Impact : de nombreuses instances sont créées. USER_RESOURCE_CREATION

    Catégorie ERROR au type d'événement UDM

    Le tableau suivant répertorie la catégorie "ERROR" et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    Convertir la catégorie UNSPECIFIED en type d'événement UDM

    Le tableau suivant liste la catégorie "UNSPECIFIED" et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type Catégorie de sécurité
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    Catégorie POSTURE_VIOLATION au type d'événement UDM

    Le tableau suivant répertorie la catégorie POSTURE_VIOLATION et les types d'événements UDM correspondants.

    Identifiant de l'événement Event Type
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    Référence de mappage de champs: VULNERABILITÉ

    Le tableau suivant répertorie les champs de journal de la catégorie VULNERABILITY et les champs UDM correspondants.

    Champ "RawLog" Mappage UDM Logique
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [nomDisplay_source]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [nom_sourceProperties]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    category extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name region a été extrait de resourceName à l'aide d'un modèle Grok et mappé sur le champ UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id asset_prod_obj_id a été extrait de resourceName à l'aide d'un modèle Grok et mappé sur le champ UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone zone_suffix a été extrait de resourceName à l'aide d'un modèle Grok et mappé sur le champ UDM principal.asset.attribute.cloud.availability_zone.
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    Référence de mappage de champ : MISCONFIGURATION

    Le tableau suivant répertorie les champs de journal de la catégorie MISCONFIGURATION et les champs UDM correspondants.

    Champ "RawLog" Mappage UDM
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    Documentation de référence sur le mappage de champs: OBSERVATION

    Le tableau suivant répertorie les champs de journal de la catégorie "OBSERVATION" et les champs UDM correspondants.

    Champ "RawLog" Mappage UDM
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [nomDisplay_source]
    assetDisplayName target.asset.attribute.labels.key/value [asset_display_name]
    assetId target.asset.asset_id

    Référence de mappage de champs : ERREUR

    Le tableau suivant répertorie les champs de journal de la catégorie ERROR et les champs UDM correspondants.

    Champ "RawLog" Mappage UDM
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [nomDisplay_source]

    Référence de mappage de champ : UNSPECIFIED

    Le tableau suivant répertorie les champs de journal de la catégorie "UNSPECIFIED" (NON SPÉCIFIÉ) et les champs UDM correspondants.

    Champ "RawLog" Mappage UDM
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] (Chemin de ressources sources)
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [nomDisplay_source]

    Documentation de référence sur le mappage de champs: POSTURE_VIOLATION

    Le tableau suivant répertorie les champs de journal de la catégorie POSTURE_VIOLATION et les champs UDM correspondants.

    Champ du journal Mappage UDM Logique
    finding.resourceName target.resource_ancestors.name Si la valeur du champ de journal finding.resourceName n'est pas vide, le champ de journal finding.resourceName est mappé sur le champ UDM target.resource.name.

    Le champ project_name est extrait du champ de journal finding.resourceName à l'aide du format Grok.

    Si la valeur du champ project_name n'est pas vide, le champ project_name est mappé sur le champ UDM target.resource_ancestors.name.
    resourceName target.resource_ancestors.name Si la valeur du champ de journal resourceName n'est pas vide, le champ de journal resourceName est mappé au champ UDM target.resource.name.

    Le champ project_name est extrait du champ de journal resourceName à l'aide du modèle Grok.

    Si la valeur du champ project_name n'est pas vide, le champ project_name est mappé au champ UDM target.resource_ancestors.name.
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment Si la valeur du champ de journal finding.cloudProvider contient l'une des valeurs suivantes, le champ de journal finding.cloudProvider est mappé au champ UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    cloudProvider about.resource.attribute.cloud.environment Si la valeur du champ de journal cloudProvider contient l'une des valeurs suivantes, le champ de journal cloudProvider est mappé au champ UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.cloudProvider target.resource.attribute.cloud.environment Si la valeur du champ de journal resource.cloudProvider contient l'une des valeurs suivantes, le champ de journal resource.cloudProvider est mappé au champ UDM target.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    Champs courants: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

    Le tableau suivant liste les champs courants du SECURITY COMMAND CENTER : catégories VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION et TOXIC_COMBINATION, ainsi que les champs UDM correspondants.

    Champ "RawLog" Mappage UDM Logique
    compliances.ids about.labels [compliance_ids] (obsolète)
    compliances.ids additional.fields [compliance_ids]
    compliances.version about.labels [compliance_version] (obsolète)
    compliances.version additional.fields [compliance_version]
    compliances.standard about.labels [compliances_standard] (obsolète)
    compliances.standard additional.fields [compliances_standard]
    connections.destinationIp about.labels [connections_destination_ip] (obsolète) Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé sur le champ UDM about.labels.value.
    connections.destinationIp additional.fields [connections_destination_ip] Si la valeur du champ de journal connections.destinationIp n'est pas égale à sourceProperties.properties.ipConnection.destIp, le champ de journal connections.destinationIp est mappé sur le champ UDM additional.fields.value.
    connections.destinationPort about.labels [connections_destination_port] (obsolète)
    connections.destinationPort additional.fields [connections_destination_port]
    connections.protocol about.labels [connections_protocol] (obsolète)
    connections.protocol additional.fields [connections_protocol]
    connections.sourceIp about.labels [connections_source_ip] (obsolète)
    connections.sourceIp additional.fields [connections_source_ip]
    connections.sourcePort about.labels [connections_source_port] (obsolète)
    connections.sourcePort additional.fields [connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type Le champ UDM target.resource_ancestors.resource_type est défini sur CLUSTER.
    about.resource.attribute.cloud.environment Le champ UDM about.resource.attribute.cloud.environment est défini sur GOOGLE_CLOUD_PLATFORM.
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] (obsolète)
    vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity] (obsolète)
    vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact] (obsolète)
    vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact] (obsolète)
    vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact] (obsolète)
    vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired] (obsolète)
    vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope] (obsolète)
    vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction] (obsolète)
    vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source] (obsolète)
    vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable] (obsolète)
    vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    vulnerability.cve.impact extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]
    vulnerability.cve.exploitationActivity extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Si la valeur du champ de journal canonicalName n'est pas vide, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.

    Si la valeur du champ de journal finding_id est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé avec le champ UDM metadata.product_log_id.

    Si la valeur du champ de journal canonicalName est vide, le champ de journal sourceProperties.evidence.sourceLogId.insertId est mappé avec le champ UDM metadata.product_log_id.
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Si la valeur du champ de journal message correspond à l'expression régulière sourceProperties.sourceId.*?customerOrganizationNumber, le champ de journal sourceProperties.sourceId.customerOrganizationNumber est mappé au champ UDM principal.resource.attribute.labels.value.
    resource.projectName principal.resource.name
    principal.user.account_type Si la valeur du champ de journal access.principalSubject correspond à l'expression régulière serviceAccount, le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.

    Sinon, si la valeur du champ de journal access.principalSubject correspond à l'expression régulière user, le champ UDM principal.user.account_type est défini sur CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name Si la valeur du champ de journal message correspond à l'expression régulière contacts.?security, le champ UDM security_result.about.user.attribute.roles.name est défini sur security.

    Si la valeur du champ de journal message correspond à l'expression régulière contacts.?technical, le champ UDM security_result.about.user.attribute.roles.name est défini sur Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state Si la valeur du champ de journal state est égale à ACTIVE, le champ UDM security_result.alert_state est défini sur ALERTING.

    Sinon, le champ UDM security_result.alert_state est défini sur NOT_ALERTING.
    findingClass, category security_result.catgory_details Le champ de journal findingClass - category est mappé avec le champ UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteInitiator est mappé sur le champ UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Si la valeur du champ de journal mute est égale à MUTED ou UNMUTED, le champ de journal muteUpdateTimer est mappé sur le champ UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Si la valeur du champ de journal category est Active Scan: Log4j Vulnerable to RCE, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Over-Privileged Grant, Exfiltration: CloudSQL Restore Backup to External Organization, Initial Access: Log4j Compromise Attempt, Malware: Cryptomining Bad Domain, Malware: Cryptomining Bad IP ou Persistence: IAM Anomalous Grant, le champ UDM security_result.detection_fields.key est défini sur sourceProperties_contextUris_relatedFindingUri_url, et le champ de journal sourceProperties.contextUris.relatedFindingUri.url est mappé sur le champ UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Si la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP, Malware: Cryptomining Bad Domain ou Malware: Cryptomining Bad IP, le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName est mappé sur le champ UDM security_result.detection_fields.key et le champ de journal sourceProperties.contextUris.virustotalIndicatorQueryUri.url est mappé sur le champ UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Si la valeur du champ de journal category est égale à Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak, Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked, Impair Defenses: Strong Authentication Disabled, Persistence: SSO Enablement Toggle ou Persistence: SSO Settings Changed, le champ de journal sourceProperties.contextUris.workspacesUri.displayName est mappé sur le champ UDM security_result.detection_fields.key, et le champ de journal sourceProperties.contextUris.workspacesUri.url est mappé sur le champ UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Si la valeur du champ de journal sourceProperties.detectionPriority est égale à HIGH, le champ UDM security_result.priority est défini sur HIGH_PRIORITY.

    Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à MEDIUM, le champ UDM security_result.priority est défini sur MEDIUM_PRIORITY.

    Sinon, si la valeur du champ de journal sourceProperties.detectionPriority est égale à LOW, le champ UDM security_result.priority est défini sur LOW_PRIORITY.
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.query est mappé sur le champ UDM src.process.command_line.

    Sinon, le champ de journal database.query est mappé sur le champ UDM target.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.folders.resourceFolderDisplayName est mappé sur le champ UDM src.resource_ancestors.attribute.labels.value.

    Sinon, le champ de journal resource.folders.resourceFolderDisplayName est mappé sur le champ UDM target.resource.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentDisplayName est mappé avec le champ UDM src.resource_ancestors.attribute.labels.key/value.

    Sinon, le champ de journal resource.parentDisplayName est mappé au champ UDM target.resource.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.parentName est mappé avec le champ UDM src.resource_ancestors.attribute.labels.key/value.

    Sinon, le champ de journal resource.parentName est mappé au champ UDM target.resource.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.projectDisplayName est mappé sur le champ UDM src.resource_ancestors.attribute.labels.key/value.

    Sinon, le champ de journal resource.projectDisplayName est mappé sur le champ UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé au champ UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ de journal database.displayName est mappé sur le champ UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Over-Privileged Grant, le champ UDM src.resource.attribute.labels.key est défini sur grantees et le champ de journal database.grantees est mappé sur le champ UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé au champ UDM src.resource.attribute.labels.value.

    Sinon, le champ de journal resource.displayName est mappé avec le champ UDM target.resource.attribute.labels.value.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé sur le champ UDM src.resource.attribute.labels.value.

    Sinon, le champ de journal resource.display_name est mappé sur le champ UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.type est mappé au champ UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.displayName est mappé sur le champ UDM src.resource.attribute.labels.value.

    Sinon, le champ de journal resource.displayName est mappé sur le champ UDM target.resource.attribute.labels.value.
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Exfiltration ou Exfiltration: BigQuery Data to Google Drive, le champ de journal resource.display_name est mappé au champ UDM src.resource.attribute.labels.value.

    Sinon, le champ de journal resource.display_name est mappé avec le champ UDM target.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.sources.components est mappé sur le champ UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Si la valeur du champ de journal category est égale à Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive ou Exfiltration: BigQuery Data Exfiltration, le champ de journal resourceName est mappé sur le champ UDM src.resource.name.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application Si la valeur du champ de journal category est égale à Defense Evasion: Modify VPC Service Control, Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization, Exfiltration: CloudSQL Over-Privileged Grant, Persistence: New Geography ou Persistence: IAM Anomalous Grant, le champ de journal access.serviceName est mappé sur le champ UDM target.application.
    access.methodName target.labels [access_methodName] (obsolète)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated] (obsolète)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents] (obsolète)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize] (obsolète)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed] (obsolète)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name] (obsolète)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val] (obsolète)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated] (obsolète)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents] (obsolète)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize] (obsolète)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed] (obsolète)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents] (obsolète)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize] (obsolète)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed] (obsolète)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name Si la valeur du champ de journal category est Malware: Bad Domain, Malware: Bad IP ou Malware: Cryptomining Bad IP, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.

    Sinon, si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ UDM target.resource_ancestors.name.

    Si la valeur du champ de journal category est Persistence: GCE Admin Added SSH Key ou Persistence: GCE Admin Added Startup Script, le champ de journal sourceProperties.properties.projectId est mappé au champ UDM target.resource_ancestors.name.
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Si la valeur du champ de journal category est égale à Brute Force: SSH, le champ de journal sourceProperties.properties.zone est mappé au champ UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok.

    Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM src.resource.attribute.labels.key/value [finding_id].

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM src.resource.product_object_id.

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM src.resource.attribute.labels.key/value [source_id].

    Si la valeur du champ de journal category est égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Si la valeur du champ de journal finding_id n'est pas vide, le champ de journal finding_id est mappé sur le champ UDM target.resource.attribute.labels.key/value [finding_id].

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, finding_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM target.resource.product_object_id.

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un format Grok :
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Si la valeur du champ de journal source_id n'est pas vide, le champ de journal source_id est mappé sur le champ UDM target.resource.attribute.labels.key/value [source_id].

    Si la valeur du champ de journal category n'est pas égale à l'une des valeurs suivantes, source_id est extrait du champ de journal canonicalName à l'aide d'un modèle Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Si la valeur du champ de journal category est égale à Exfiltration: CloudSQL Data Exfiltration ou Exfiltration: BigQuery Data Extraction, le champ de journal exfiltration.targets.components est mappé sur le champ UDM target.resource.attribute.labels.key/value.
    resourceName
    exfiltration.targets.name
    target.resource.name Si la valeur du champ de journal category de journal category est égale à Brute Force: SSH, le champ de journal resourceName est mappé au champ target.resource_ancestors.nameUDM UDM.


    Si, la valeur du champ de journal category est égale à Malware: Bad Domain, Malware: Bad IP ou Malware: Bad IP ou Malware: Cryptomining Bad IPcategoryresourceNameresourceNametarget.resource_ancestors.name




    target.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RegionCode, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé sur le champ UDM principal.location.country_or_region.
    sourceProperties.Header_Signature.significantValues.value principal.ip Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RemoteHost, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé sur le champ UDM principal.ip.
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à UserAgent, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé sur le champ UDM network.http.user_agent.
    sourceProperties.Header_Signature.significantValues.value principal.url Si la valeur du champ de journal sourceProperties.Header_Signature.name est égale à RequestUriPath, le champ de journal sourceProperties.Header_Signature.significantValues.value est mappé sur le champ UDM principal.url.
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.compromised_account est mappé avec le champ UDM principal.user.userid et le champ UDM principal.user.account_type est défini sur SERVICE_ACCOUNT_TYPE.
    sourceProperties.project_identifier principal.resource.product_object_id Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.project_identifier est mappé sur le champ UDM principal.resource.product_object_id.
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.private_key_identifier est mappé sur le champ UDM principal.user.attribute.labels.value.
    sourceProperties.action_taken principal.labels [action_taken] (obsolète) Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.action_taken est mappé sur le champ UDM principal.labels.value.
    sourceProperties.action_taken additional.fields [action_taken] Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.action_taken est mappé sur le champ UDM additional.fields.value.
    sourceProperties.finding_type principal.labels [finding_type] (obsolète) Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.finding_type est mappé sur le champ UDM principal.labels.value.
    sourceProperties.finding_type additional.fields [finding_type] Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.finding_type est mappé sur le champ UDM additional.fields.value.
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.url est mappé sur le champ UDM principal.user.attribute.labels.value.
    sourceProperties.security_result.summary security_result.summary Si la valeur du champ de journal category est égale à account_has_leaked_credentials, le champ de journal sourceProperties.security_result.summary est mappé sur le champ UDM security_result.summary.
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] vulnerability.offendingPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] vulnerability.offendingPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] vulnerability.offendingPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] vulnerability.offendingPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] vulnerability.fixedPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] vulnerability.fixedPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] vulnerability.fixedPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] vulnerability.fixedPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] vulnerability.securityBulletin.bulletinId
    security_result.detection_fields[vulnerability_securityBulletin_submissionTime] vulnerability.securityBulletin.submissionTime
    security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] vulnerability.securityBulletin.suggestedUpgradeVersion
    target.location.name resource.location
    additional.fields[resource_service] resource.service
    target.resource_ancestors.attribute.labels[kubernetes_object_kind] kubernetes.objects.kind
    target.resource_ancestors.name kubernetes.objects.name
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] kubernetes.objects.ns
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] kubernetes.objects.group

    Étape suivante