Raccogli i risultati di Security Command Center

Questo documento descrive come raccogliere i log di Security Command Center configurando Security Command Center e importando i risultati in Chronicle. Questo documento elenca anche gli eventi supportati.

Per maggiori informazioni, consulta Importazione dei dati in Chronicle ed Esportazione dei risultati di Security Command Center in Chronicle. Un deployment tipico è costituito da Security Command Center e dal feed di Chronicle configurato per inviare log a Chronicle. Il deployment di ogni cliente può variare e potrebbe essere più complesso.

Il deployment contiene i seguenti componenti:

  • Google Cloud: il sistema da monitorare in cui è installato Security Command Center.

  • Risultati di rilevamento delle minacce di eventi di Security Command Center: raccoglie informazioni dall'origine dati e genera risultati.

  • Chronicle: conserva e analizza i log di Security Command Center.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni in questo documento si applicano al parser di Security Command Center con le seguenti etichette di importazione:

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

Configura Security Command Center e Google Cloud per inviare i risultati a Chronicle

Risultati di Event Threat Detection supportati

Questa sezione elenca i risultati supportati da Event Threat Detection. Per informazioni sulle regole e sui risultati di Event Threat Detection di Security Command Center, vedi Regole di Event Threat Detection.

Nome risultato Descrizione
Scansione attiva: Log4j vulnerabile a RCE Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviati dagli scanner di vulnerabilità Log4j supportati.
Forza bruta: SSH Rilevamento della forza bruta di SSH su un host riuscito.
Accesso alle credenziali: membro esterno aggiunto al gruppo con privilegi Rileva quando un membro esterno viene aggiunto a un gruppo Google con privilegi, ovvero un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili. Viene generato un risultato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google.
Accesso alle credenziali: gruppo con privilegi aperto al pubblico Rileva quando un gruppo Google con privilegi, ovvero un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili, viene modificato per essere accessibile al pubblico. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google.
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido Rileva quando vengono concessi ruoli sensibili a un gruppo Google con membri esterni. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google.
evasione di difesa: modifica dei controlli di servizio VPC Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che comporterebbe una riduzione della protezione offerta da tale perimetro.
Rilevamento: può ottenere checkPreview di oggetti Kubernetes sensibili Un utente malintenzionato ha tentato di determinare per quali oggetti sensibili in Google Kubernetes Engine (GKE) eseguire query utilizzando il comando kubectl auth can-i get.
Rilevamento: auto-indagine sull'account di servizio Rilevamento delle credenziali dell'account di servizio per Identity and Access Management (IAM) utilizzate per analizzare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Evasione: accesso da proxy con anonimizzazione Rilevamento delle modifiche ai servizi Google Cloud che hanno avuto origine da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Esfiltrazione: esfiltrazione di dati BigQuery Rileva i seguenti scenari:
  • Risorse di proprietà dell'organizzazione protetta e salvate al di fuori dell'organizzazione, incluse operazioni di copia o trasferimento.
  • Tentativi di accedere a risorse BigQuery protette dal Controllo di servizio VPC.
Esfiltrazione: estrazione dei dati BigQuery Rileva i seguenti scenari:
  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, mediante operazioni di estrazione, in un bucket Cloud Storage esterno all'organizzazione.
  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, mediante operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di tale organizzazione.
Esfiltrazione: dati BigQuery su Google Drive Rileva i seguenti scenari:

Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, mediante operazioni di estrazione, in una cartella di Google Drive.

Esfiltrazione: esfiltrazione dei dati di Cloud SQL Rileva i seguenti scenari:
  • Dati dell'istanza live esportati in un bucket Cloud Storage esterno all'organizzazione.

  • Dati dell'istanza live esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibili pubblicamente.
Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna Rileva quando il backup di un'istanza Cloud SQL viene ripristinato in un'istanza esterna all'organizzazione.
Esfiltrazione: concessione di privilegi in eccesso per Cloud SQL SQL Rileva quando a un utente o a un ruolo Cloud SQL Postgres sono stati concessi tutti i privilegi per un database o per tutte le tabelle, le procedure o le funzioni in uno schema.
Indebolimento difese: autenticazione avanzata disabilitata La verifica in due passaggi è stata disattivata per l'organizzazione.
Indebolimento difese: verifica in due passaggi disattivata Un utente ha disattivato la verifica in due passaggi.
Accesso iniziale: compromissione account disattivato L'account di un utente è stato sospeso a causa di attività sospetta.
Accesso iniziale: fuga di password disabilitata L'account di un utente è stato disattivato a causa di una fuga di password.
Accesso iniziale: attacco governativo Gli hacker sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer.
Accesso iniziale: tentativo di compromissione di Log4j Rileva le ricerche JNDI (Java Naming and Directory Interface) all'interno delle intestazioni o dei parametri URL. Queste ricerche possono indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un tentativo di rilevamento o di exploit, non una vulnerabilità o una compromissione.
Accesso iniziale: accesso sospetto bloccato È stato rilevato un accesso sospetto all'account di un utente che è stato bloccato.
Malware Log4j: dominio non valido Rilevamento dell’exploit del traffico di Log4j basato su una connessione o una ricerca di un dominio noto utilizzato negli attacchi Log4j.
Malware Log4j: IP non valido Rilevamento del traffico di exploit di Log4j basato su una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j.
Malware: dominio non valido Rilevamento del malware basato su una connessione o una ricerca di un dominio dannoso noto.
Malware: indirizzo IP non valido Rilevamento del malware basato sulla connessione a un indirizzo IP non valido noto.
Malware: dominio non valido per il cryptomining Rilevamento del cryptomining basato su una connessione a un dominio di mining di criptovaluta noto o su una ricerca di tale dominio.
Malware: IP non valido per il cryptomining Rilevamento del mining di criptovaluta basato sulla connessione a un indirizzo IP di mining noto.
DoS in uscita Rilevamento del traffico denial of service in uscita.
Persistenza: chiave SSH aggiunta dall'amministratore di Compute Engine Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (meno di 1 settimana).
Persistenza: script di avvio aggiunto dall'amministratore di Compute Engine Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (meno di 1 settimana).
Persistenza: concessione anomala IAM Rilevamento dei privilegi concessi a utenti IAM e account di servizio che non sono membri dell'organizzazione. Questo rilevatore utilizza i criteri IAM esistenti di un'organizzazione come contesto. Se viene effettuata una concessione IAM sensibile a un membro esterno e sono presenti meno di tre criteri IAM simili, questo rilevatore genera un risultato.
Persistenza: nuova API MethodPreview Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM.
Persistenza: nuova area geografica Rilevamento degli account utente e di servizio IAM che accedono a Google Cloud da posizioni anomale, in base alla geolocalizzazione degli indirizzi IP richiedente.
Persistenza: nuovo user agent Rilevamento degli account di servizio IAM che accedono a Google Cloud da user agent anomali o sospetti.
Persistenza: attivazione/disattivazione di abilitazione SSO L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata.
Persistenza: impostazioni SSO modificate Le impostazioni SSO per l'account amministratore sono state modificate.
Escalation dei privilegi: modifiche agli oggetti Kubernetes RBAC sensibili Per aumentare i privilegi, un utente malintenzionato ha tentato di modificare gli oggetti ClusterRole e ClusterRoleBinding cluster-admin utilizzando una richiesta PUT o PATCH.
Escalation dei privilegi: crea un servizio CSR Kubernetes per certPreview Un aggressore potenzialmente dannoso ha creato una richiesta di firma del certificato master Kubernetes (CSR), che gli concede l'accesso come amministratore del cluster.
Escalation dei privilegi: creazione di associazioni Kubernetes sensibiliAnteprima Un utente malintenzionato ha tentato di creare nuovi oggetti RoleBinding o ClusterRoleBinding di amministrazione del cluster per aumentare i privilegi.
Escalation dei privilegi: ricevi il servizio CSR di Kubernetes con credenziali di bootstrap compromesseAnteprima Un aggressore ha chiesto una richiesta di firma del certificato (CSR), con il comando kubectl, utilizzando credenziali di bootstrap compromesse.
Escalation dei privilegi: lancio di Kubernetes containerPreview con privilegi Un aggressore ha creato pod contenenti container o container con privilegi con funzionalità di escalation dei privilegi.

Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true.

Accesso iniziale: creazione della chiave dell'account di servizio inattivo Rileva gli eventi in cui viene creata una chiave per un account di servizio inattivo, gestito dall'utente. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni.
Albero del processo Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un programma binario shell, il rilevatore controlla il processo padre. Se il processo padre è un programma binario che non deve generare un processo shell, il rilevatore attiva un risultato.
Shell secondaria imprevista Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un programma binario shell, il rilevatore controlla il processo padre. Se il processo padre è un programma binario che non deve generare un processo shell, il rilevatore attiva un risultato.
Esecuzione: aggiunta esecuzione binaria dannosa Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine container originale ed è stato identificato come dannoso sulla base delle informazioni sulle minacce.
Esecuzione: esecuzione binaria dannosa modificata Il rilevatore cerca un programma binario in esecuzione che era originariamente incluso nell’immagine container ma modificato durante il tempo di esecuzione ed è stato identificato come dannoso sulla base delle informazioni sulle minacce.
Escalation dei privilegi: delega anomala dell'account di servizio con più passaggi per l'attività di amministrazione Rileva il rilevamento di una richiesta delegata anomala con più passaggi per un'attività amministrativa.
Account deployment di emergenza utilizzato: break_glass_account Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza)
Dominio non valido configurabile: APT29_Domains Rileva la connessione a un nome di dominio specificato
Concessione del ruolo imprevista: ruoli vietati Rileva quando un ruolo specificato viene concesso a un utente
IP non valido configurabile Rileva la connessione a un indirizzo IP specificato
Tipo di istanza Compute Engine imprevisto Rileva la creazione di istanze di Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata.
Immagine di origine Compute Engine imprevista Rileva la creazione di un'istanza Compute Engine con un'immagine o una famiglia di immagini che non corrisponde a un elenco specificato
Regione Compute Engine imprevista Rileva la creazione di un'istanza Compute Engine in una regione che non si trova in un elenco specificato.
Ruolo personalizzato con autorizzazione vietata Rileva quando a un'entità viene concesso un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate.
Chiamata API Cloud imprevista Rileva quando un'entità specificata chiama un metodo specificato a fronte di una risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari trovano una corrispondenza in una singola voce di log.

Risultati GCP_SECURITYCENTER_ERROR supportati

Puoi trovare la mappatura UDM nella tabella Riferimento mappatura campi: ERROR.

Nome risultato Descrizione
VPC_SC_RESTRICTION Security Health Analytics non è in grado di produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare risultati a Logging.
API_DISABLED Un'API obbligatoria è disabilitata per il progetto. Il servizio disabilitato non può inviare risultati a Security Command Center.
KTD_IMAGE_PULL_FAILURE Impossibile abilitare Container Threat Detection nel cluster perché non è possibile estrarre (scaricare) un'immagine container richiesta da gcr.io, l'host delle immagini di Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER Impossibile abilitare Container Threat Detection su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto Kubernetes DaemonSet richiesto da Container Threat Detection.

Quando vengono visualizzati nella console Google Cloud, i dettagli dei risultati includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet Container Threat Detection.

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS Un account di servizio non ha le autorizzazioni necessarie per Container Threat Detection. Container Threat Detection potrebbe smettere di funzionare correttamente perché non è possibile abilitare, aggiornare o disabilitare la strumentazione di rilevamento.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine, perché l'account di servizio predefinito di GKE nel cluster non dispone delle autorizzazioni. Questo impedisce a Container Threat Detection di essere abilitato correttamente sul cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS L'account di servizio Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente. Non sono stati prodotti risultati.

Risultati GCP_SECURITYCENTER_OBSERVATION supportati

Puoi trovare la mappatura UDM nella tabella Riferimento per la mappatura dei campi: OSSERVAZIONE.

Nome risultato Descrizione
Persistenza: chiave SSH del progetto aggiunta In un progetto che risale a più di 10 giorni fa, è stata creata una chiave SSH a livello di progetto.
Persistenza: aggiungi ruolo sensibile È stato concesso un ruolo IAM sensibile o con privilegi elevati a livello di organizzazione in un'organizzazione risalente a più di 10 giorni fa.

Risultati GCP_SECURITYCENTER_UNSPECIFIED supportati

Puoi trovare la mappatura UDM nella tabella Riferimento mappatura campi: UNSPECIFIED.

Nome risultato Descrizione
OPEN_FIREWALL Un firewall è configurato per essere aperto all'accesso pubblico.

Risultati GCP_SECURITYCENTER_VULNERABILITY supportati

Puoi trovare la mappatura UDM nella tabella Riferimento della mappatura dei campi: VULNERABILITY.

Nome risultato Descrizione
DISK_CSEK_DISABLED I dischi di questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per istruzioni, consulta la sezione Rilevatore di casi speciali.
ALPHA_CLUSTER_ENABLED Le funzionalità del cluster alpha sono abilitate per un cluster GKE.
AUTO_REPAIR_DISABLED La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in stato integro e in esecuzione, è disabilitata.
AUTO_UPGRADE_DISABLED La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata.
CLUSTER_SHIELDED_NODES_DISABLED I nodi GKE schermati non sono abilitati per un cluster
COS_NOT_USED Le VM di Compute Engine non utilizzano Container-Optimized OS, progettato per l'esecuzione sicura dei container Docker su Google Cloud.
INTEGRITY_MONITORING_DISABLED Il monitoraggio dell'integrità è disabilitato per un cluster GKE.
IP_ALIAS_DISABLED È stato creato un cluster GKE con intervalli IP alias disabilitati.
LEGACY_METADATA_ENABLED I metadati legacy sono abilitati nei cluster GKE.
RELEASE_CHANNEL_DISABLED Un cluster GKE non è iscritto a un canale di rilascio.
DATAPROC_IMAGE_OUTDATED Un cluster Dataproc è stato creato con una versione immagine Dataproc interessata dalle vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).
PUBLIC_DATASET Un set di dati è configurato per essere aperto all'accesso pubblico.
DNSSEC_DISABLED DNSSEC è disabilitato per le zone Cloud DNS.
RSASHA1_FOR_SIGNING RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS.
REDIS_ROLE_USED_ON_ORG Viene assegnato un ruolo IAM Redis a livello di organizzazione o cartella.
KMS_PUBLIC_KEY Una chiave di crittografia Cloud KMS è accessibile pubblicamente.
SQL_CONTAINED_DATABASE_AUTHENTICATION Il flag di database di autenticazione del database contenuto per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_CROSS_DB_OWNERSHIP_CHAINING Il flag di database cross_db_ownership_chaining per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_EXTERNAL_SCRIPTS_ENABLED Il flag di database abilitato per script esterni per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_LOCAL_INFILE Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su Off.
SQL_LOG_ERROR_VERBOSITY Il flag di database log_error_verbosity per un'istanza Cloud SQL per PostgreSQL non è impostato sul valore predefinito o su un valore più restrittivo.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED Il flag di database log_min_duration_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su "-1".
SQL_LOG_MIN_ERROR_STATEMENT Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato in modo corretto.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
SQL_LOG_MIN_MESSAGES Il flag di database log_min_messages per un'istanza Cloud SQL per PostgreSQL non è impostato su alert.
SQL_LOG_EXECUTOR_STATS_ENABLED Il flag di database log_executor_status per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_HOSTNAME_ENABLED Il flag di database log_hostname per un'istanza Cloud SQL per PostgreSQL non è impostato su Off.
SQL_LOG_PARSER_STATS_ENABLED Il flag di database log_parser_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su Off.
SQL_LOG_PLANNER_STATS_ENABLED Il flag di database log_planner_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su Off.
SQL_LOG_STATEMENT_STATS_ENABLED Il flag di database log_statement_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su Off.
SQL_LOG_TEMP_FILES Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0".
SQL_REMOTE_ACCESS_ENABLED Il flag di database di accesso remoto per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_SKIP_SHOW_DATABASE_DISABLED Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On.
SQL_TRACE_FLAG_3625 Il flag di database 3625 (flag di traccia) per un'istanza di Cloud SQL per SQL Server non è impostato su On.
SQL_USER_CONNECTIONS_CONFIGURED Il flag di database user connection per un'istanza di Cloud SQL per SQL Server è configurato.
SQL_USER_OPTIONS_CONFIGURED Il flag di database user options per un'istanza Cloud SQL per SQL Server è configurato.
SQL_WEAK_ROOT_PASSWORD Un database Cloud SQL ha una password inefficace configurata per l'account root. Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
PUBLIC_LOG_BUCKET Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente.
ACCESSIBLE_GIT_REPOSITORY Un repository Git è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico involontario al repository GIT.
ACCESSIBLE_SVN_REPOSITORY Un repository SVN è esposto pubblicamente. Per risolvere questo risultato, rimuovi l'accesso pubblico involontario al repository SVN.
CACHEABLE_PASSWORD_INPUT Le password inserite nell'applicazione web possono essere memorizzate nella cache in una normale cache del browser anziché in una memoria protetta per le password.
CLEAR_TEXT_PASSWORD Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo risultato, cripta la password trasmessa attraverso la rete.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo risultato, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo risultato, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin, ad esempio .equals("".google.com"").
INVALID_CONTENT_TYPE È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo risultato, imposta l'intestazione HTTP X-Content-Type-Options con il valore corretto.
INVALID_HEADER Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
MISMATCHING_SECURITY_HEADER_VALUES Un'intestazione di sicurezza contiene valori duplicati che non corrispondono, il che comporta un comportamento indefinito. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
MISSPELLED_SECURITY_HEADER_NAME Un'intestazione di sicurezza contiene errori di ortografia e viene ignorata. Per risolvere questo risultato, imposta correttamente le intestazioni di sicurezza HTTP.
MIXED_CONTENT Le risorse vengono gestite tramite HTTP in una pagina HTTPS. Per risolvere questo risultato, assicurati che tutte le risorse vengano pubblicate tramite HTTPS.
OUTDATED_LIBRARY È stata rilevata una libreria con vulnerabilità note. Per risolvere questo risultato, esegui l'upgrade delle librerie a una versione più recente.
SERVER_SIDE_REQUEST_FORGERY È stata rilevata una vulnerabilità di falsificazione di richieste lato server (SSRF). Per risolvere questo risultato, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può effettuare richieste.
SESSION_ID_LEAK Quando si effettua una richiesta interdominio, l'applicazione web include l'identificatore di sessione dell'utente nell'intestazione della richiesta referrer. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente.
SQL_INJECTION È stata rilevata una potenziale vulnerabilità di SQL injection. Per risolvere questo risultato, utilizza le query con parametri per impedire che gli input utente influenzino la struttura della query SQL.
STRUTS_INSECURE_DESERIALIZATION È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo risultato, esegui l'upgrade di Apache Struts alla versione più recente.
XSS Un campo di questa applicazione web è vulnerabile a un attacco XSS (cross-site scripting). Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
XSS_ANGULAR_CALLBACK Una stringa fornita dall'utente non contiene caratteri di escape e AngularJS può interpolarla. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente e gestiti dal framework Angular.
XSS_ERROR Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo risultato, convalida ed esegui l'escape dei dati non attendibili forniti dall'utente.
XXE_REFLECTED_FILE_LEAKAGE È stata rilevata una vulnerabilità da entità esterna XML (XXE). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo risultato, configura i parser XML in modo da non consentire le entità esterne.
BASIC_AUTHENTICATION_ENABLED L'autenticazione del certificato client o IAM deve essere abilitata sui cluster Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED I cluster Kubernetes devono essere creati con il certificato client abilitato.
LABELS_NOT_USED Le etichette possono essere utilizzate per suddividere i dati di fatturazione.
PUBLIC_STORAGE_OBJECT L'ACL dell'oggetto di archiviazione non deve concedere l'accesso ad allUsers.
SQL_BROAD_ROOT_LOGIN L'accesso root a un database SQL deve essere limitato a IP attendibili nella lista consentita.
WEAK_CREDENTIALS Questo rilevatore verifica la presenza di credenziali inefficaci utilizzando metodi di forza bruta ncrack.

Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

ELASTICSEARCH_API_EXPOSED L'API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere ulteriori documenti al servizio.
EXPOSED_GRAFANA_ENDPOINT In Grafana 8.0.0-8.3.0, gli utenti possono accedere senza autenticazione a un endpoint che presenta una vulnerabilità di attraversamento directory che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per ulteriori informazioni, vedi CVE-2021-43798.
EXPOSED_METABASE Le versioni da x.40.0 a x.40.4 di Metabase, una piattaforma di analisi dei dati open source, contengono una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e la potenziale inclusione di file locali, comprese le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per ulteriori informazioni, vedi CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Questo rilevatore verifica se gli endpoint degli attuatori sensibili delle applicazioni Spring Boot sono esposti. Alcuni endpoint predefiniti, come /heapdump, potrebbero esporre informazioni sensibili. Altri endpoint, come /env, potrebbero portare all'esecuzione di codice da remoto. Al momento è selezionata solo /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Questo rilevatore verifica se l'API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticato.
JAVA_JMX_RMI_EXPOSED Java Management Extension (JMX) consente il monitoraggio e la diagnostica da remoto delle applicazioni Java. L'esecuzione di JMX con un endpoint di chiamata del metodo remoto non protetto consente a qualsiasi utente remoto di creare un MBean javax.management.loading.MLet e di utilizzarlo per creare nuovi MBean da URL arbitrari.
JUPYTER_NOTEBOOK_EXPOSED_UI Questo rilevatore verifica se è esposto un blocco note Jupyter non autenticato. Jupyter consente l'esecuzione di codice remoto per progettazione sulla macchina host. Un blocco note Jupyter non autenticato mette la VM di hosting a rischio dell'esecuzione di codice remoto.
KUBERNETES_API_EXPOSED L'API Kubernetes è esposta e accessibile da parte di chiamanti non autenticati. Ciò consente l'esecuzione di codice arbitrario sul cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION Questo rilevatore verifica se un'installazione di WordPress è stata completata. Un’installazione di WordPress non completata espone la pagina /wp-admin/install.php, che consente all’hacker di impostare la password di amministratore e, possibilmente, compromettere il sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Questo rilevatore verifica la presenza di un'istanza Jenkins non autenticata inviando un ping del probe all'endpoint /view/all/newJob come visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo createItem, che consente la creazione di job arbitrari che potrebbero portare all'esecuzione di codice remoto.
APACHE_HTTPD_RCE In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un aggressore di utilizzare un attacco path traversal per mappare gli URL ai file al di fuori della radice del documento prevista e vedere l'origine dei file interpretati, come gli script CGI. È noto che questo problema è sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta:

Record CVE CVE-2021-41773

Vulnerabilità di Apache HTTP Server 2.4

APACHE_HTTPD_SSRF Gli aggressori possono creare un URI per il server web Apache che fa sì che mod_proxy inoltri la richiesta a un server di origine scelto dall’hacker. Questo problema riguarda il server HTTP Apache 2.4.48 e versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta:

Record CVE CVE-2021-40438

Vulnerabilità di Apache HTTP Server 2.4

CONSUL_RCE Gli aggressori possono eseguire codice arbitrario su un server Consul perché l'istanza Consul è configurata con -enable-script-checks impostato su true e l'API HTTP Consul non è sicura e accessibile sulla rete. In Consul 0.9.0 e versioni precedenti, i controlli degli script sono attivi per impostazione predefinita. Per saperne di più, consulta Protezione del console dal rischio RCE in configurazioni specifiche. Per verificare la vulnerabilità, Rapid Vulnerability Detection registra un servizio sull'istanza di Consul utilizzando l'endpoint REST /v1/health/service, che esegue quindi uno dei seguenti passaggi: * Un comando curl su un server remoto esterno alla rete. Un utente malintenzionato può utilizzare il comando curl per esfiltrare i dati dal server. * Un comando printf. Rapid Vulnerability Detection verifica quindi l’output del comando utilizzando l’endpoint REST /v1/health/service. * Dopo il controllo, Rapid Vulnerability Detection pulisce e annulla la registrazione del servizio utilizzando l'endpoint REST /v1/agent/service/deregister/.
DRUID_RCE Apache Druid offre la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è destinata all'utilizzo in ambienti ad alta attendibilità ed è disabilitata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta appositamente creata che costringa Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, indipendentemente dalla configurazione del server. Può essere sfruttato per eseguire il codice sulla macchina target con i privilegi del processo del server Druid. Per ulteriori informazioni, vedi Dettagli CVE-2021-25646.
DRUPAL_RCE

Le versioni di Drupal prima della 7.58, 8.x prima 8.3.9, 8.4.x prima della 8.4.6 e 8.5.x prima della 8.5.1 sono vulnerabili all'esecuzione di codice remoto su richieste AJAX API Form.

Le versioni di Drupal 8.5.x prima della 8.5.11 e 8.6.x prima della 8.6.10 sono vulnerabili all'esecuzione di codice remoto quando il modulo del servizio web RESTful o JSON:API sono abilitati. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza una richiesta POST personalizzata.
FLINK_FILE_DISCLOSURE Una vulnerabilità nelle versioni di Apache Flink 1.11.0, 1.11.1 e 1.11.2 consente agli utenti malintenzionati di leggere qualsiasi file nel file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager.
GITLAB_RCE Nelle versioni GitLab Community Edition (CE) ed Enterprise Edition (EE) 11.9 e successive, GitLab non convalida correttamente i file immagine che vengono passati ad un parser di file. Un utente malintenzionato può sfruttare questa vulnerabilità per l'esecuzione del comando da remoto.
GoCD_RCE In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint presenta una vulnerabilità di attraversamento directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione.
JENKINS_RCE Le versioni di Jenkins 2.56 e precedenti, e 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata da un aggressore non autenticato che utilizza un oggetto Java serializzato dannoso.
JOOMLA_RCE

Le versioni di Joomla 1.5.x, 2.x e 3.x precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata da un'intestazione creata contenente oggetti PHP serializzati.

Le versioni di Joomla dalla 3.0.0 alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST contenente un oggetto PHP serializzato creato.
LOG4J_RCE In Apache Log4j2 2.14.1 e versioni precedenti, le caratteristiche JNDI utilizzate nelle configurazioni, nei messaggi di log e nei parametri non proteggono contro LDAP controllati dall'aggressore e altri endpoint correlati allo JNDI. Per ulteriori informazioni, vedi CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION MantisBT attraverso la versione 2.3.0 consente un ripristino arbitrario di password e un accesso amministrativo non autenticato fornendo un valore conferma_hash vuoto per verify.php.
OGNL_RCE Le istanze di Confluence Server e Data Center contengono una vulnerabilità OGNL injection che consente a un aggressore non autenticato di eseguire codice arbitrario. Per ulteriori informazioni, vedi CVE-2021-26084.
OPENAM_RCE I server OpenAM 14.6.2 e versioni precedenti e i server AM ForgeRock 6.5.3 e versioni precedenti presentano una vulnerabilità di deserializzazione Java nel parametro jato.pageSession su più pagine. Lo sfruttamento non richiede l'autenticazione e l'esecuzione di codice remoto può essere attivata inviando una singola richiesta /ccversion/* creata al server. La vulnerabilità esiste a causa dell'utilizzo dell'applicazione Sun ONE. Per ulteriori informazioni, vedi CVE-2021-35464.
ORACLE_WEBLOGIC_RCE Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un aggressore non autenticato con accesso alla rete tramite HTTP di compromettere Oracle WebLogic Server. Gli attacchi di questa vulnerabilità possono comportare l'acquisizione del controllo di Oracle WebLogic Server. Per ulteriori informazioni, vedi CVE-2020-14882.
PHPUNIT_RCE Le versioni PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una singola richiesta POST non autenticata.
PHP_CGI_RCE Le versioni PHP precedenti alla 5.3.12 e le versioni 5.4.x prima della 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice in remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query prive di un carattere = (uguale al segno). In questo modo gli hacker possono aggiungere opzioni della riga di comando che vengono eseguite sul server.
PORTAL_RCE La deserializzazione di dati non attendibili nelle versioni di Liferay Portal precedenti alla 7.2.1 CE GA2 consente agli aggressori da remoto di eseguire codice arbitrario attraverso i servizi web JSON.
REDIS_RCE Se un'istanza Redis non richiede l'autenticazione per l'esecuzione dei comandi di amministrazione, gli utenti malintenzionati potrebbero essere in grado di eseguire un codice arbitrario.
SOLR_FILE_EXPOSED L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un utente malintenzionato può creare direttamente una richiesta per abilitare una configurazione specifica e, infine, implementare una richiesta di falsificazione lato server (SSRF) o leggere file arbitrari.
SOLR_RCE Le versioni di Apache Solr 5.0.0 tramite Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice remoto tramite VelocityResponseWriter se params.resource.loader.enabled è impostato su true. Questo permette agli aggressori di creare un parametro che contiene un modello Velocity dannoso.
STRUTS_RCE
  • Le versioni di Apache Struts prima della 2.3.32 e della 2.5.x prima della 2.5.10.1 sono vulnerabili all'esecuzione di codice da remoto. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata.
  • Il plug-in REST nelle versioni di Apache Struts dalla 2.1.1 alla 2.3.x prima della 2.3.34 e dalla 2.5.x prima della 2.5.13 sono vulnerabili all'esecuzione di codice remoto quando deserializza i payload XML creati.
  • Le versioni di Apache Struts da 2.3 a 2.3.34 e da 2.5 a 2.5.16 sono vulnerabili all'esecuzione di codice remoto quando AlwaysSelectFullNamespace è impostato su true ed esistono altre configurazioni di azione.
TOMCAT_FILE_DISCLOSURE Le versioni di Apache Tomcat 9.x prima della 9.0.31, 8.x prima della 8.5.51, 7.x prima della 7.0.100 e tutte le versioni 6.x sono vulnerabili al codice sorgente e alla divulgazione della configurazione attraverso un connettore di protocollo Apache JServ esposto. In alcuni casi, viene utilizzato per eseguire l'esecuzione di codice remoto se è consentito il caricamento di file.
VBULLETIN_RCE I server vBulletin che eseguono le versioni 5.0.0 fino alla 5.5.4 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza un parametro di query in una richiesta routestring.
VCENTER_RCE VMware vCenter Server versioni 7.x prima 7.0 U1c, 6.7 prima 6.7 U3l e 6.5 prima 6.5 U3n sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato in una directory accessibile dal web e attiva l'esecuzione di tale file.
WEBLOGIC_RCE Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità di esecuzione di codice remoto, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Per ulteriori informazioni, vedi CVE-2020-14883.
OS_VULNERABILITY VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM di Compute Engine.
UNUSED_IAM_ROLE Il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM non utilizzato negli ultimi 90 giorni.

Risultati GCP_SECURITYCENTER_MISCONFIGURATION supportati

Puoi trovare la mappatura UDM nella tabella Riferimento mappatura campi: MISCONFIGURATION.

Nome risultato Descrizione
API_KEY_APIS_UNRESTRICTED Alcune chiavi API vengono utilizzate in modo troppo ampio. Per risolvere il problema, limita l'utilizzo delle chiavi API per consentire solo le API necessarie per l'applicazione.
API_KEY_APPS_UNRESTRICTED Le chiavi API vengono usate senza limitazioni, consentendone l'uso da parte di qualsiasi app non attendibile
API_KEY_EXISTS Un progetto utilizza chiavi API anziché l'autenticazione standard.
API_KEY_NOT_ROTATED La chiave API non viene ruotata per più di 90 giorni
PUBLIC_COMPUTE_IMAGE Un'immagine Compute Engine è accessibile pubblicamente.
CONFIDENTIAL_COMPUTING_DISABLED Confidential Computing è disabilitato su un'istanza Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED Vengono utilizzate chiavi SSH a livello di progetto che consentono l'accesso a tutte le istanze del progetto.
COMPUTE_SECURE_BOOT_DISABLED In questa Shielded VM non è abilitato l'avvio protetto. L'utilizzo dell'Avvio protetto consente di proteggere le istanze di macchine virtuali da minacce avanzate come rootkit e bootkit.
DEFAULT_SERVICE_ACCOUNT_USED Un'istanza è configurata per utilizzare l'account di servizio predefinito.
FULL_API_ACCESS Un'istanza è configurata in modo da utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud.
OS_LOGIN_DISABLED OS Login è disabilitato in questa istanza.
PUBLIC_IP_ADDRESS Un'istanza ha un indirizzo IP pubblico.
SHIELDED_VM_DISABLED La Shielded VM è disabilitata su questa istanza.
COMPUTE_SERIAL_PORTS_ENABLED Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza.
DISK_CMEK_DISABLED I dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
HTTP_LOAD_BALANCER Un'istanza utilizza un bilanciatore del carico configurato per l'utilizzo di un proxy HTTP di destinazione anziché di un proxy HTTPS di destinazione.
IP_FORWARDING_ENABLED L'IP forwarding è abilitato sulle istanze.
WEAK_SSL_POLICY Un'istanza ha un criterio SSL debole.
BINARY_AUTHORIZATION_DISABLED Autorizzazione binaria è disabilitata su un cluster GKE.
CLUSTER_LOGGING_DISABLED Logging non è abilitato per un cluster GKE.
CLUSTER_MONITORING_DISABLED Il monitoraggio è disabilitato sui cluster GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED La crittografia dei secret a livello di applicazione è disabilitata su un cluster GKE.
INTRANODE_VISIBILITY_DISABLED La visibilità tra nodi è disabilitata per un cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED Le reti autorizzate del piano di controllo non sono abilitate nei cluster GKE.
NETWORK_POLICY_DISABLED Il criterio di rete è disabilitato sui cluster GKE.
NODEPOOL_SECURE_BOOT_DISABLED Avvio protetto disabilitato per un cluster GKE.
OVER_PRIVILEGED_ACCOUNT Un account di servizio ha un accesso a progetti troppo ampio in un cluster.
OVER_PRIVILEGED_SCOPES Un account di servizio nodo ha ambiti di accesso ampio.
POD_SECURITY_POLICY_DISABLED PodSecurityPolicy è disabilitato su un cluster GKE.
PRIVATE_CLUSTER_DISABLED Un cluster GKE ha un cluster privato disabilitato.
WORKLOAD_IDENTITY_DISABLED Un cluster GKE non è iscritto a un canale di rilascio.
LEGACY_AUTHORIZATION_ENABLED L'autorizzazione precedente è abilitata sui cluster GKE.
NODEPOOL_BOOT_CMEK_DISABLED I dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
WEB_UI_ENABLED La UI web di GKE (dashboard) è abilitata.
AUTO_REPAIR_DISABLED La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in stato integro e in esecuzione, è disabilitata.
AUTO_UPGRADE_DISABLED La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata.
CLUSTER_SHIELDED_NODES_DISABLED I nodi GKE schermati non sono abilitati per un cluster
RELEASE_CHANNEL_DISABLED Un cluster GKE non è iscritto a un canale di rilascio.
BIGQUERY_TABLE_CMEK_DISABLED Una tabella BigQuery non è configurata per l'utilizzo di una chiave di crittografia gestita dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva.
DATASET_CMEK_DISABLED Un set di dati BigQuery non è configurato per utilizzare una CMEK predefinita. Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva.
EGRESS_DENY_RULE_NOT_SET Su un firewall non è impostata una regola di negazione in uscita. Le regole di negazione in uscita devono essere impostate per bloccare il traffico in uscita indesiderato.
FIREWALL_RULE_LOGGING_DISABLED Il logging delle regole firewall è disabilitato. Il logging delle regole firewall dovrebbe essere abilitato per consentirti di controllare l'accesso alla rete.
OPEN_CASSANDRA_PORT Un firewall è configurato con una porta Cassandra aperta che consente un accesso generico.
OPEN_SMTP_PORT Un firewall è configurato con una porta SMTP aperta che consente un accesso generico.
OPEN_REDIS_PORT Un firewall è configurato con una porta REDIS aperta che consente un accesso generico.
OPEN_POSTGRESQL_PORT Un firewall è configurato con una porta PostgreSQL aperta che consente un accesso generico.
OPEN_POP3_PORT Un firewall è configurato con una porta POP3 aperta che consente un accesso generico.
OPEN_ORACLEDB_PORT Un firewall è configurato con una porta NETBIOS aperta che consente l'accesso generico.
OPEN_NETBIOS_PORT Un firewall è configurato con una porta NETBIOS aperta che consente l'accesso generico.
OPEN_MYSQL_PORT Un firewall è configurato con una porta MYSQL aperta che consente un accesso generico.
OPEN_MONGODB_PORT Un firewall è configurato con una porta MONGODB aperta che consente un accesso generico.
OPEN_MEMCACHED_PORT Un firewall è configurato per avere una porta MEMCACHED aperta che consente un accesso generico.
OPEN_LDAP_PORT Un firewall è configurato con una porta LDAP aperta che consente un accesso generico.
OPEN_FTP_PORT Un firewall è configurato con una porta FTP aperta che consente un accesso generico.
OPEN_ELASTICSEARCH_PORT Un firewall è configurato per avere una porta ELASTICSEARCH aperta che consente un accesso generico.
OPEN_DNS_PORT Un firewall è configurato per avere una porta DNS aperta che consente un accesso generico.
OPEN_HTTP_PORT Un firewall è configurato in modo da avere una porta HTTP aperta che consente un accesso generico.
OPEN_DIRECTORY_SERVICES_PORT Un firewall è configurato per avere una porta DIRECTORY_SERVICE aperta che consente un accesso generico.
OPEN_CISCOSECURE_WEBSM_PORT Un firewall è configurato per avere una porta CISCOSECURE_WEBSM aperta che consente un accesso generico.
OPEN_RDP_PORT Un firewall è configurato con una porta RDP aperta che consente l'accesso generico.
OPEN_TELNET_PORT Un firewall è configurato per avere una porta TELNET aperta che consente un accesso generico.
OPEN_FIREWALL Un firewall è configurato per essere aperto all'accesso pubblico.
OPEN_SSH_PORT Un firewall è configurato con una porta SSH aperta che consente un accesso generico.
SERVICE_ACCOUNT_ROLE_SEPARATION A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò costituisce una violazione del principio di "Separazione dei compiti".
NON_ORG_IAM_MEMBER Un utente non utilizza le credenziali dell'organizzazione. Secondo CIS Google Cloud Foundations 1.0, attualmente solo le identità con indirizzi email @gmail.com attivano questo rilevatore.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Un utente dispone del ruolo Utente account di servizio o Creatore token account di servizio a livello di progetto anziché per un account di servizio specifico.
ADMIN_SERVICE_ACCOUNT Un account di servizio dispone dei privilegi di amministratore, proprietario o editor. Questi ruoli non devono essere assegnati ad account di servizio creati dall'utente.
SERVICE_ACCOUNT_KEY_NOT_ROTATED Una chiave dell'account di servizio non viene ruotata per più di 90 giorni.
USER_MANAGED_SERVICE_ACCOUNT_KEY Un utente gestisce una chiave dell'account di servizio.
PRIMITIVE_ROLES_USED Un utente dispone del ruolo di base, Proprietario, Autore o Lettore. Questi ruoli sono troppo permissivi e non dovrebbero essere utilizzati.
KMS_ROLE_SEPARATION La separazione dei compiti non viene applicata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli di Cloud Key Management Service (Cloud KMS): Autore crittografia/decrittografia CryptoKey, Criptatore o decifratore.
OPEN_GROUP_IAM_MEMBER Un account Google Gruppi a cui è possibile partecipare senza approvazione viene utilizzato come entità del criterio di autorizzazione IAM.
KMS_KEY_NOT_ROTATED La rotazione non è configurata su una chiave di crittografia Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni.
KMS_PROJECT_HAS_OWNER Un utente dispone delle autorizzazioni di proprietario per un progetto che dispone di chiavi di crittografia.
TOO_MANY_KMS_USERS Esistono più di tre utenti di chiavi di crittografia.
OBJECT_VERSIONING_DISABLED Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink.
LOCKED_RETENTION_POLICY_NOT_SET Non è impostato un criterio di conservazione bloccato per i log.
BUCKET_LOGGING_DISABLED Esiste un bucket di archiviazione senza logging abilitato.
LOG_NOT_EXPORTED Esiste una risorsa per cui non è configurato un sink di log appropriato.
AUDIT_LOGGING_DISABLED L'audit logging è stato disabilitato per questa risorsa.
MFA_NOT_ENFORCED Alcuni utenti non utilizzano la verifica in due passaggi.
ROUTE_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alle route di rete VPC.
OWNER_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto.
AUDIT_CONFIG_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione dell'audit.
BUCKET_IAM_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche ai ruoli personalizzati.
FIREWALL_NOT_MONITORED Le metriche e gli avvisi di log non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC).
NETWORK_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla rete VPC.
SQL_INSTANCE_NOT_MONITORED Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione dell'istanza Cloud SQL.
DEFAULT_NETWORK La rete predefinita esiste in un progetto.
DNS_LOGGING_DISABLED Il logging DNS su una rete VPC non è abilitato.
PUBSUB_CMEK_DISABLED Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
PUBLIC_SQL_INSTANCE Un'istanza di database Cloud SQL accetta connessioni da tutti gli indirizzi IP.
SSL_NOT_ENFORCED Un'istanza di database Cloud SQL non richiede tutte le connessioni in entrata per utilizzare SSL.
AUTO_BACKUP_DISABLED Un database Cloud SQL non ha i backup automatici abilitati.
SQL_CMEK_DISABLED Un'istanza di database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
SQL_LOG_CHECKPOINTS_DISABLED Il flag di database log_checkpoints per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_CONNECTIONS_DISABLED Il flag di database log_connections per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_DISCONNECTIONS_DISABLED Il flag di database log_disconnections per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_DURATION_DISABLED Il flag di database log_duration per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_LOCK_WAITS_DISABLED Il flag di database log_lock_waits per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_STATEMENT Il flag di database log_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su Ddl (tutte le istruzioni di definizione dei dati).
SQL_NO_ROOT_PASSWORD In un database Cloud SQL non è configurata una password per l'account principale. Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
SQL_PUBLIC_IP Un database Cloud SQL ha un indirizzo IP pubblico.
SQL_CONTAINED_DATABASE_AUTHENTICATION Il flag di database di autenticazione del database contenuto per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_CROSS_DB_OWNERSHIP_CHAINING Il flag di database cross_db_ownership_chaining per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_LOCAL_INFILE Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su Off.
SQL_LOG_MIN_ERROR_STATEMENT Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato in modo corretto.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
SQL_LOG_TEMP_FILES Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0".
SQL_REMOTE_ACCESS_ENABLED Il flag di database di accesso remoto per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_SKIP_SHOW_DATABASE_DISABLED Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On.
SQL_TRACE_FLAG_3625 Il flag di database 3625 (flag di traccia) per un'istanza di Cloud SQL per SQL Server non è impostato su On.
SQL_USER_CONNECTIONS_CONFIGURED Il flag di database user connection per un'istanza di Cloud SQL per SQL Server è configurato.
SQL_USER_OPTIONS_CONFIGURED Il flag di database user options per un'istanza Cloud SQL per SQL Server è configurato.
PUBLIC_BUCKET_ACL Un bucket Cloud Storage è accessibile pubblicamente.
BUCKET_POLICY_ONLY_DISABLED L'accesso uniforme a livello di bucket, in precedenza denominato Solo criterio bucket, non è configurato.
BUCKET_CMEK_DISABLED Un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Per abilitare questo rilevatore è necessaria una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
FLOW_LOGS_DISABLED È presente una subnet VPC in cui i log di flusso sono disabilitati.
PRIVATE_GOOGLE_ACCESS_DISABLED Esistono subnet private che non hanno accesso alle API pubbliche di Google.
kms_key_region_europe Ai sensi dei criteri aziendali, tutte le chiavi di crittografia dovrebbero rimanere archiviate in Europa.
kms_non_euro_region Ai sensi dei criteri aziendali, tutte le chiavi di crittografia dovrebbero rimanere archiviate in Europa.
LEGACY_NETWORK In un progetto esiste una rete legacy.
LOAD_BALANCER_LOGGING_DISABLED Il logging è disabilitato per il bilanciatore del carico.

Risultati GCP_SECURITYCENTER_POSTURE_VIOLATION supportati

Puoi trovare la mappatura UDM nella tabella Riferimento mappatura campi: VIOLAZIONE POSTURE.

Nome risultato Descrizione
SECURITY_POSTURE_DRIFT Deviazione dai criteri definiti all'interno della postura di sicurezza. Questo viene rilevato dal servizio della postura di sicurezza.
SECURITY_POSTURE_POLICY_DRIFT Il servizio della postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione che si è verificata al di fuori di un aggiornamento della postura.
SECURITY_POSTURE_POLICY_DELETE Il servizio della postura di sicurezza ha rilevato che un criterio dell'organizzazione è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura.
SECURITY_POSTURE_DETECTOR_DRIFT Il servizio della postura di sicurezza ha rilevato una modifica a un rilevatore di Security Health Analytics che si è verificata al di fuori di un aggiornamento della postura.
SECURITY_POSTURE_DETECTOR_DELETE Il servizio della postura di sicurezza ha rilevato che un modulo personalizzato di Security Health Analytics è stato eliminato. Questa eliminazione si è verificata al di fuori di un aggiornamento della postura.

Riferimento per la mappatura dei campi

Questa sezione spiega in che modo il parser Chronicle mappa i campi dei log di Security Command Center ai campi Chronicle Unified Data Model (UDM) per i set di dati.

Riferimento per la mappatura dei campi: campi di log non elaborati a campi UDM

Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per i risultati di Security Command Center Event Threat Detection.

Campo RawLog Mappatura UDM Logica
compliances.ids about.labels.key/value [compliance_ids]
compliances.version about.labels.key/value [compliance_version]
compliances.standard about.labels.key/value [compliances_standard]
connections.destinationIp about.labels[connections_destination_ip] Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM about.labels.value.
connections.destinationPort about.labels[connections_destination_port]
connections.protocol about.labels[connections_protocol]
connections.sourceIp about.labels[connections_source_ip]
connections.sourcePort about.labels[connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type Se il valore del campo di log message corrisponde all'espressione regolare kubernetes, il campo UDM target.resource_ancestors.resource_type è impostato su CLUSTER.
about.resource.attribute.cloud.environment Il campo UDM about.resource.attribute.cloud.environment è impostato su GOOGLE_CLOUD_PLATFORM.
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked, Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Initial Access: Suspicious Login Blocked o Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, il campo UDM extension.auth.type è impostato su SSO.
extension.mechanism Se il valore del campo log category è uguale a Brute Force: SSH, il campo UDM extension.mechanism è impostato su USERNAME_PASSWORD.
extensions.auth.type Se il valore del campo log principal.user.user_authentication_status è uguale a ACTIVE, il campo UDM extensions.auth.type è impostato su SSO.
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo log sourceProperties.properties.loadBalancerName viene mappato al campo UDM intermediary.resource.name.
intermediary.resource.resource_type Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo UDM intermediary.resource.resource_type è impostato su BACKEND_SERVICE.
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Se il valore del campo log canonicalName non è vuoto, finding_id viene estratto dal campo di log canonicalName utilizzando un pattern Grok.

Se il valore del campo log finding_id è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.

Se il valore del campo log canonicalName è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.
metadata.product_name Il campo UDM metadata.product_name è impostato su Security Command Center.
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name Il campo UDM metadata.vendor_name è impostato su Google.
network.application_protocol Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo UDM network.application_protocol è impostato su DNS.
sourceProperties.properties.indicatorContext.asn network.asn Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.indicatorContext.asn viene mappato al campo UDM network.asn.
sourceProperties.properties.indicatorContext.carrierName network.carrier_name Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.indicatorContext.carrierName viene mappato al campo UDM network.carrier_name.
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.reverseDnsDomain viene mappato al campo UDM network.dns_domain.
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseClass viene mappato al campo UDM network.dns.answers.class.
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data Se il valore del campo log category corrisponde all'espressione regolare Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseValue viene mappato al campo UDM network.dns.answers.data.
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.domainName viene mappato al campo UDM network.dns.answers.name.
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.ttl viene mappato al campo UDM network.dns.answers.ttl.
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type Se il valore del campo log category è uguale a Malware: Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseData.responseType viene mappato al campo UDM network.dns.answers.type.
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.authAnswer viene mappato al campo UDM network.dns.authoritative.
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.queryName viene mappato al campo UDM network.dns.questions.name.
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.queryType viene mappato al campo UDM network.dns.questions.type.
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.responseCode viene mappato al campo UDM network.dns.response_code.
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.callerUserAgent viene mappato al campo UDM network.http.user_agent.
sourceProperties.properties.callerUserAgent network.http.user_agent Se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.callerUserAgent viene mappato al campo UDM network.http.user_agent.
access.userAgentFamily network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent viene mappato al campo UDM network.http.user_agent.
sourceProperties.properties.ipConnection.protocol network.ip_protocol Se il valore del campo log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo UDM network.ip_protocol viene impostato su uno dei seguenti valori:
  • ICMP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 1 o ICMP.
  • IGMP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 2 o IGMP.
  • TCP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 6 o TCP.
  • UDP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 17 o UDP.
  • IP6IN4 quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 41 o IP6IN4.
  • GRE quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 47 o GRE.
  • ESP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 50 o ESP.
  • EIGRP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 88 o EIGRP.
  • ETHERIP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 97 o ETHERIP.
  • PIM quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 103 o PIM.
  • VRRP quando sono soddisfatte le seguenti condizioni:
    • Il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a 112 o VRRP.
  • UNKNOWN_IP_PROTOCOL se il valore del campo log sourceProperties.properties.ipConnection.protocol è uguale a qualsiasi altro valore.
    sourceProperties.properties.indicatorContext.organizationName network.organization_name Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.organizationName viene mappato al campo UDM network.organization_name.
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.behaviorPeriod viene mappato al campo UDM network.session_duration.
    sourceProperties.properties.sourceIp principal.ip Se il valore del campo log category corrisponde all'espressione regolare Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.sourceIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.attempts.sourceIp principal.ip Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.sourceIp viene mappato al campo UDM principal.ip.
    access.callerIp principal.ip Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control o access.callerIp o Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive o Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log access.callerIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.changeFromBadIp.ip principal.ip Se il valore del campo log category è uguale a Evasion: Access from Anonymizing Proxy, il campo log sourceProperties.properties.changeFromBadIp.ip viene mappato al campo UDM principal.ip.
    sourceProperties.properties.dnsContexts.sourceIp principal.ip Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Cryptomining Bad Domain, il campo log sourceProperties.properties.dnsContexts.sourceIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.ipConnection.srcIp principal.ip Se il valore del campo log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.srcIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, se il valore del campo log sourceProperties.properties.ipConnection.srcIp non è uguale a sourceProperties.properties.indicatorContext.ipAddress, il campo di log sourceProperties.properties.indicatorContext.ipAddress viene mappato al campo UDM principal.ip.
    sourceProperties.properties.anomalousLocation.callerIp principal.ip Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.callerIp viene mappato al campo UDM principal.ip.
    sourceProperties.properties.scannerDomain principal.labels.key/value [sourceProperties_properties_scannerDomain] Se il valore del campo log category corrisponde all'espressione regolare Active Scan: Log4j Vulnerable to RCE, il campo log sourceProperties.properties.scannerDomain viene mappato al campo UDM principal.labels.key/value.
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.jobState viene mappato al campo UDM principal.labels.key/value.
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.indicatorContext.countryCode viene mappato al campo UDM principal.location.country_or_region.
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.job.location viene mappato al campo UDM principal.location.country_or_region.
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.job.location viene mappato al campo UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region Se il valore del campo log category è uguale a Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier viene mappato al campo UDM principal.location.country_or_region.
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.anomalousLocation.anomalousLocation viene mappato al campo UDM principal.location.name.
    sourceProperties.properties.ipConnection.srcPort principal.port Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.srcPort viene mappato al campo UDM principal.port.
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.jobLink viene mappato al campo UDM principal.process.file.full_path.
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.job.jobId viene mappato al campo UDM principal.process.pid.
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.job.jobId viene mappato al campo UDM principal.process.pid.
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.srcVpc.subnetworkName viene mappato al campo UDM principal.resource_ancestors.attribute.labels.value.
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.srcVpc.projectId viene mappato al campo UDM principal.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.vpcName viene mappato al campo UDM principal.resource_ancestors.name e il campo UDM principal.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Se il valore del campo log message corrisponde all'espressione regolare sourceProperties.sourceId.*?customerOrganizationNumber, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM principal.resource.attribute.labels.key/value.
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name Se il valore del campo log sourceProperties.properties.projectId non è vuoto, il campo log sourceProperties.properties.projectId viene mappato al campo UDM principal.resource.name.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId viene mappato al campo UDM principal.resource.name.
    sourceProperties.properties.sourceInstanceDetails principal.resource.name Se il valore del campo log category è uguale a Malware: Outgoing DoS, il campo log sourceProperties.properties.sourceInstanceDetails viene mappato al campo UDM principal.resource.name.
    principal.user.account_type Se il valore del campo log access.principalSubject corrisponde all'espressione regolare serviceAccount, il campo UDM principal.user.account_type viene impostato su SERVICE_ACCOUNT_TYPE.

    In caso contrario, il valore del campo log access.principalSubject corrisponde all'espressione regolare user, il campo UDM principal.user.account_type viene impostato su CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo UDM principal.user.attribute.labels.key viene impostato su rawUserAgent e il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent viene mappato al campo UDM principal.user.attribute.labels.value.
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Discovery: Service Account Self-Investigation, il campo log sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Evasion: Access from Anonymizing Proxy, il campo log sourceProperties.properties.changeFromBadIp.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.userEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive o Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Impair Defenses: Strong Authentication Disabled o Impair Defenses: Two Step Verification Disabled o Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo log sourceProperties.properties.principalEmail è mappato al campo UDM principal.user.email_addresses.

    Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log sourceProperties.properties.principalEmail è mappato al campo UDM principal.user.email_addresses.
    access.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, Exfiltration: CloudSQL Data Exfiltration, Exfiltration: CloudSQL Restore Backup to External Organization o Persistence: New Geography, il campo log access.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.vpcViolation.userEmail viene mappato al campo UDM principal.user.email_addresses.
    sourceProperties.properties.ssoState principal.user.user_authentication_status Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Initial Access: Suspicious Login Blocked o Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle, il campo log sourceProperties.properties.ssoState viene mappato al campo UDM principal.user.user_authentication_status.
    database.userName principal.user.userid Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.userName viene mappato al campo UDM principal.user.userid.
    sourceProperties.properties.threatIntelligenceSource security_result.about.application Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.threatIntelligenceSource viene mappato al campo UDM security_result.about.application.
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.sourceIp viene mappato al campo UDM security_result.about.ip.
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName è mappato al campo UDM security_result.about.resource.name.

    Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.delta.restrictedResources.resourceName è mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type è impostato su CLOUD_PROJECT.
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM sourceProperties.properties.delta.allowedServices.serviceName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type è impostato su BACKEND_SERVICE.
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM sourceProperties.properties.delta.restrictedServices.serviceName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type è impostato su BACKEND_SERVICE.
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM sourceProperties.properties.delta.accessLevels.policyName viene mappato al campo UDM security_result.about.resource.name e il campo UDM security_result.about.resource_type è impostato su ACCESS_POLICY.
    security_result.about.user.attribute.roles.name Se il valore del campo log di message corrisponde all'espressione regolare contacts.?security, il campo UDM security_result.about.user.attribute.roles.name viene impostato su security.

    Se il valore del campo di log message corrisponde all'espressione regolare contacts.?technical, il campo UDM security_result.about.user.attribute.roles.name è impostato su Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action Se il valore del campo UDM di category è uguale a Initial Access: Suspicious Login Blocked, il campo UDM security_result.action è impostato su BLOCK.

    Se il valore del campo UDM di category è uguale a Brute Force: SSH, se il valore del campo log di sourceProperties.properties.attempts.authResult è uguale a SUCCESS, il campo UDM security_result.action è impostato su BLOCK.

    In caso contrario, il campo UDM security_result.action è impostato su BLOCK.
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.restrictedResources.action viene mappato al campo UDM security_result.action_details.
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.restrictedServices.action viene mappato al campo UDM security_result.action_details.
    sourceProperties.properties.delta.allowedServices.action security_result.action_details Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.allowedServices.action viene mappato al campo UDM security_result.action_details.
    sourceProperties.properties.delta.accessLevels.action security_result.action_details Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.delta.accessLevels.action viene mappato al campo UDM security_result.action_details.
    security_result.alert_state Se il valore del campo UDM state è uguale a ACTIVE, il campo UDM security_result.alert_state viene impostato su ALERTING.

    Altrimenti, il campo UDM security_result.alert_state è impostato su NOT_ALERTING.
    findingClass security_result.catgory_details Il campo del log findingClass - category è mappato al campo UDM security_result.catgory_details.
    category security_result.catgory_details Il campo del log findingClass - category è mappato al campo UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteInitiator viene mappato al campo UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteUpdateTimer viene mappato al campo UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] Se il valore del campo log category è uguale a Persistence: New User Agent, il campo log sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.authResult viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.indicatorType viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.customer_industry viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.customer_name viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.lasthit viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.myVote viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.support_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_class_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.tag_name viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.upVotes viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.downVotes viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Se il valore del campo di log category è uguale a Active Scan: Log4j Vulnerable to RCE o Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive o Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Over-Privileged Grant o Exfiltration: CloudSQL Restore Backup to External Organization o Initial Access: Log4j Compromise Attempt o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, il campo UDM security_result.detection_fields.key è impostato su sourceProperties_contextUris_relatedFindingUri_url e il campo di log sourceProperties.contextUris.relatedFindingUri.url è mappato al campo UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.url viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled o Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.contextUris.workspacesUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.workspacesUri.url viene mappato al campo UDM security_result.detection_fields.key/value.
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.public_tag_name viene mappato al campo UDM intermediary.labels.key.
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.tags.description viene mappato al campo UDM intermediary.labels.value.
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] Se il valore del campo log category è uguale a Malware: Bad IP, il campo log sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal viene mappato al campo UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Se il valore del campo log di sourceProperties.detectionPriority è uguale a HIGH, il campo UDM security_result.priority è impostato su HIGH_PRIORITY.

    Altrimenti se il valore del campo UDM sourceProperties.detectionPriority è uguale a MEDIUM, il campo UDM security_result.priority è impostato su MEDIUM_PRIORITY.

    In caso contrario, il campo UDM di sourceProperties.detectionPriority è impostato su LOW, il campo UDM security_result.priority è impostato su LOW_PRIORITY.
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary Se il valore del campo log category è uguale a Exfiltration: BigQuery Exfiltration, il campo log sourceProperties.properties.vpcViolation.violationReason viene mappato al campo UDM security_result.summary.
    name security_result.url_back_to_product
    database.query src.process.command_line Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.query viene mappato al campo UDM src.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolderDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.projectDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.
    parent src.resource_ancestors.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log parent viene mappato al campo UDM src.resource_ancestors.name.
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId viene mappato al campo UDM src.resource_ancestors.name e il campo UDM src.resource_ancestors.resource_type è impostato su TABLE.
    resourceName src.resource_ancestors.name Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log resourceName viene mappato al campo UDM src.resource_ancestors.name.
    resource.folders.resourceFolder src.resource_ancestors.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolder viene mappato al campo UDM src.resource_ancestors.name.
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.projectNumber viene mappato al campo UDM src.resource_ancestors.product_object_id.
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.sourceId.organizationNumber viene mappato al campo UDM src.resource_ancestors.product_object_id.
    resource.type src.resource_ancestors.resource_subtype Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.displayName viene mappato al campo UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo UDM src.resource.attribute.labels.key viene impostato su grantees e il campo log database.grantees viene mappato al campo UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.datasetId viene mappato al campo UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.projectId viene mappato al campo UDM src.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.resourceUri viene mappato al campo UDM src.resource.attribute.labels.value.
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.backupId viene mappato al campo UDM src.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log src.resource.attribute.labels.key/value viene mappato al campo UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.sources.name viene mappato al campo UDM src.resource.name e il campo log resourceName al campo UDM src.resource_ancestors.name.
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo UDM sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource viene mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype è impostato su CloudSQL.
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name Se il valore del campo log category è uguale a Exfiltration: CloudSQL Restore Backup to External Organization, il campo log sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource è mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype è impostato su CloudSQL.

    Se il valore del campo UDM category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.cloudsqlInstanceResource viene mappato al campo UDM src.resource.name e il campo UDM src.resource.resource_subtype è impostato su CloudSQL.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log exfiltration.sources.name viene mappato al campo UDM src.resource.name e il campo log resourceName al campo UDM src.resource_ancestors.name.
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.sourceTable.tableId viene mappato al campo UDM src.resource.product_object_id.
    access.serviceName target.application Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control o Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive o Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Restore Backup to External Organization o Exfiltration: CloudSQL Over-Privileged Grant o Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo di log access.serviceName è mappato al campo UDM target.application.
    sourceProperties.properties.serviceName target.application Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled o Impair Defenses: Two Step Verification Disabled o Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo di log sourceProperties.properties.serviceName è mappato al campo UDM target.application.
    sourceProperties.properties.domainName target.domain.name Se il valore del campo log category è uguale a Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.domainName viene mappato al campo UDM target.domain.name.
    sourceProperties.properties.domains.0 target.domain.name Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.domains.0 viene mappato al campo UDM target.domain.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action viene mappato al campo UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action viene mappato al campo UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member viene mappato al campo UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member viene mappato al campo UDM target.group.attribute.labels.key/value.
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin viene mappato al campo UDM target.group.attribute.permissions.name.
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.permissions viene mappato al campo UDM target.group.attribute.permissions.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName viene mappato al campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role viene mappato al campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role viene mappato al campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName viene mappato al campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name Se il valore del campo log category è uguale a Persistence: IAM Anomalous Grant, il campo log sourceProperties.properties.customRoleSensitivePermissions.roleName viene mappato al campo UDM target.group.attribute.roles.name.
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName viene mappato al campo UDM target.group.group_display_name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.groupName viene mappato al campo UDM target.group.group_display_name.
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name Se il valore del campo log category è uguale a Credential Access: Sensitive Role Granted To Hybrid Group, il campo log sourceProperties.properties.sensitiveRoleToHybridGroup.groupName viene mappato al campo UDM target.group.group_display_name.
    sourceProperties.properties.ipConnection.destIp target.ip Se il valore del campo log category è uguale a Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.destIp viene mappato al campo UDM target.ip.
    access.methodName target.labels.key/value [access_methodName]
    processes.argumentsTruncated target.labels.key/value [processes_argumentsTruncated]
    processes.binary.contents target.labels.key/value [processes_binary_contents]
    processes.binary.hashedSize target.labels.key/value [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels.key/value [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels.key/value [processes_envVariables_name]
    processes.envVariables.val target.labels.key/value [processes_envVariables_val]
    processes.envVariablesTruncated target.labels.key/value [processes_envVariablesTruncated]
    processes.libraries.contents target.labels.key/value [processes_libraries_contents]
    processes.libraries.hashedSize target.labels.key/value [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels.key/value [processes_libraries_partiallyHashed]
    processes.script.contents target.labels.key/value [processes_script_contents]
    processes.script.hashedSize target.labels.key/value [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels.key/value [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels.key/value [sourceProperties_properties_methodName] Se il valore del campo log category è uguale a Impair Defenses: Strong Authentication Disabled o Initial Access: Government Based Attack, Initial Access: Suspicious Login Blocked o Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.properties.methodName viene mappato al campo UDM target.labels.value.
    sourceProperties.properties.network.location target.location.name Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP, Malware: Cryptomining Bad IP o Malware: Cryptomining Bad Domain o Configurable Bad Domain, il campo log sourceProperties.properties.network.location viene mappato al campo UDM target.location.name.
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Outgoing DoS, il campo log sourceProperties.properties.ipConnection.destPort viene mappato al campo UDM target.port.
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.query viene mappato al campo UDM target.process.command_line.
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] Il campo log containers.labels.name è mappato al campo UDM target.resource_ancestors.attribute.labels.key e il campo log containers.labels.value è mappato al campo UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.projectId viene mappato al campo UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] Se il valore del campo log category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP, il campo log sourceProperties.properties.destVpc.subnetworkName viene mappato al campo UDM target.resource_ancestors.attribute.labels.value.
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.network.subnetworkName viene mappato al campo UDM target.resource_ancestors.value.
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] Se il valore del campo log category è uguale a Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log sourceProperties.properties.network.subnetworkId viene mappato al campo UDM target.resource_ancestors.value.
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpcName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    resourceName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.projectId target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    parent target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    containers.name target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name Se il valore del campo log category è uguale a Credential Access: External Member Added To Privileged Group, il campo log sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource viene mappato al campo UDM target.resource_ancestors.name.
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name Se il valore del campo log category è uguale a Credential Access: Privileged Group Opened To Public, il campo log sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource viene mappato al campo UDM target.resource_ancestors.name.
    kubernetes.pods.containers.name target.resource_ancestors.name Se il valore del campo log di category è uguale a Malware: Cryptomining Bad IP o Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Bad Domain o Configurable Bad Domain, il campo di log sourceProperties.properties.destVpc.vpcName è uguale al campo UDM target.resource_ancestors.name UDM e il campo di log sourceProperties.properties.vpc.vpcName è mappato al campo UDM target.resource_ancestors.name e il campo target.resource_ancestors.resource_type UDM è impostato su VPC_NETWORK.

    Il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a VPC_NETWORK.

    il campo log {1/DM1} è mappato a {10/ e
    e
    e il campo log {1/ e UDM1} è mappato {11/ e il campo log
    è mappato a { o il campo log category o {DM1} o {DM1} è mappato a {13/ e il campo log target.resource_ancestors.name/ e il campo log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName il campo di log target.resource_ancestors.name/target.resource_ancestors.name è uguale a sourceProperties.properties.vpcName e il campo log target.resource_ancestors.namecategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.resource_type
    Active Scan: Log4j Vulnerable to RCEVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo log sourceProperties.properties.gceInstanceId viene mappato al campo UDM target.resource_ancestors.product_object_id e il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    containers.imageId target.resource_ancestors.product_object_id Se il valore del campo log category è uguale a Persistence: GCE Admin Added Startup Script o Persistence: GCE Admin Added SSH Key, il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.zone viene mappato al campo UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id Il valore finding_id viene estratto dal campo di log canonicalName mediante un pattern Grok.

    Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM src.resource.attribute.labels.key/value [finding_id].

    Se il valore del campo log category è uguale a uno dei seguenti valori, finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.product_object_id.

    Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.attribute.labels.key/value [source_id].

    Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM target.resource.attribute.labels.key/value [finding_id].

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.product_object_id.

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.attribute.labels.key/value [source_id].

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo log sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo UDM target.resource.attribute.labels.key viene impostato su exportScope e il campo log sourceProperties.properties.exportToGcs.exportScope viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.objectName viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.destinations.originalUri viene mappato al campo UDM target.resource.attribute.labels.value.
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] Se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.metadataKeyOperation viene mappato al campo UDM target.resource.attribute.labels.key/value.
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.targets.components viene mappato al campo UDM target.resource.attribute.labels.key/value.
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.bucketAccess viene mappato al campo UDM target.resource.attribute.permissions.name.
    sourceProperties.properties.name target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    resourceName target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.attempts.vmName target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceDetails target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    exfiltration.targets.name target.resource.name <br class-2 class=".categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name













    Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE
    sourceProperties.properties.instanceId target.resource.product_object_id Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.instanceId viene mappato al campo UDM target.resource.product_object_id.
    kubernetes.pods.containers.imageId target.resource.product_object_id
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype Se il valore del campo log di category è uguale a Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive, il campo di log sourceProperties.properties.extractionAttempt.destinations.collectionName viene mappato al campo UDM target.resource.resource_subtype.

    In caso contrario, se il valore del campo UDM di category è uguale a Credential Access: External Member Added To Privileged Group, il campo UDM target.resource.resource_subtype è impostato su Privileged Group.

    In caso contrario, se il valore del campo UDM di category è uguale a Exfiltration: BigQuery Data Exfiltration, il campo UDM target.resource.resource_subtype è impostato su BigQuery.
    target.resource.resource_type Se il valore del campo log di sourceProperties.properties.extractionAttempt.destinations.collectionType corrisponde all'espressione regolare BUCKET, il campo UDM target.resource.resource_type è impostato su STORAGE_BUCKET.

    In caso contrario, il valore del campo UDM category è uguale a Brute Force: SSH, il campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE.

    Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE.

    Il valore del campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE/2.

    Il valore del campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE/2.categoryExfiltration: BigQuery Data ExfiltrationTABLE
    sourceProperties.properties.extractionAttempt.jobLink target.url Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM target.url.

    Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, il campo log sourceProperties.properties.extractionAttempt.jobLink viene mappato al campo UDM target.url.
    sourceProperties.properties.exportToGcs.gcsUri target.url Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration, il campo log sourceProperties.properties.exportToGcs.gcsUri viene mappato al campo UDM target.url.
    sourceProperties.properties.requestUrl target.url Se il valore del campo log category è uguale a Initial Access: Log4j Compromise Attempt, il campo log sourceProperties.properties.requestUrl viene mappato al campo UDM target.url.
    sourceProperties.properties.policyLink target.url Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control, il campo log sourceProperties.properties.policyLink viene mappato al campo UDM target.url.
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] Se il valore del campo log category è uguale a Persistence: New Geography, il campo log sourceProperties.properties.anomalousLocation.notSeenInLast viene mappato al campo UDM target.user.attribute.labels.value.
    sourceProperties.properties.attempts.username target.user.userid Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.attempts.username viene mappato al campo UDM target.user.userid.

    Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log userid viene mappato al campo UDM target.user.userid.
    sourceProperties.properties.principalEmail target.user.userid Se il valore del campo log category è uguale a Initial Access: Suspicious Login Blocked, il campo log userid viene mappato al campo UDM target.user.userid.
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels.key/value [Environment_Variables_name]
    target.labels.key/value [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name Se il valore del campo log category è uguale a Added Binary Executed o Added Library Loaded, il campo log sourceProperties.VM_Instance_Name viene mappato al campo UDM target.resource_ancestors.name e il campo UDM target.resource_ancestors.resource_type è impostato su VIRTUAL_MACHINE.
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name Se il valore del campo log category è uguale a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, il campo log sourceProperties.Backend_Service viene mappato al campo UDM target.resource.name e il campo log resourceName al campo UDM target.resource_ancestors.name.
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type Se il valore del campo log category è uguale a Increasing Deny Ratio, Allowed Traffic Spike o Application DDoS Attack Attempt, il campo UDM target.resource.resource_type è impostato su BACKEND_SERVICE.

    Se il valore del campo UDM category è uguale a Configurable Bad Domain, il campo UDM target.resource.resource_type è impostato su VIRTUAL_MACHINE.
    is_alert Se il valore del campo log state è uguale a ACTIVE, se il valore del campo mute_is_not_present è non uguale a true e (il valore del campo log mute è uguale a UNMUTED o il valore del campo log mute è uguale a UNDEFINED), il campo UDM is_alert è impostato su true, altrimenti il campo UDM is_alert è impostato su false.
    is_significant Se il valore del campo log state è uguale a ACTIVE, se il valore del campo mute_is_not_present è non uguale a true e (il valore del campo log mute è uguale a UNMUTED o il valore del campo log mute è uguale a UNDEFINED), il campo UDM is_significant è impostato su true, altrimenti il campo UDM is_significant è impostato su false.
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok : user_id estratto dal campo di log sourceProperties.properties.sensitiveRoleGrant.principalEmail, quindi il campo user_id è mappato al campo UDM principal.user.userid.
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok : user_id estratto dal campo di log sourceProperties.properties.customRoleSensitivePermissions.principalEmail, quindi il campo user_id è mappato al campo UDM principal.user.userid.
    resourceName principal.asset.location.name Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok ha estratto project_name, region, zone_suffix, asset_prod_obj_id dal campo di log resourceName, il campo di log region viene mappato al campo UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok ha estratto project_name, region, zone_suffix, asset_prod_obj_id dal campo di log resourceName, il campo log asset_prod_obj_id è mappato al campo UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok ha estratto project_name, region, zone_suffix, asset_prod_obj_id dal campo di log resourceName, il campo log zone_suffix è mappato al campo UDM principal.asset.attribute.cloud.availability_zone.
    resourceName principal.asset.attribute.labels[project_name] Se il valore del campo log parentDisplayName è uguale a Virtual Machine Threat Detection, Grok ha estratto project_name, region, zone_suffix, asset_prod_obj_id dal campo di log resourceName, il campo log project_name è mappato al campo UDM principal.asset.attribute.labels.value.
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName Se il valore del campo di log category è uguale a Initial Access: Excessive Permission Denied Actions, il campo di log sourceProperties.properties.failedActions.methodName viene mappato al campo UDM target.labels.
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName Se il valore del campo di log category è uguale a Initial Access: Excessive Permission Denied Actions, il campo di log sourceProperties.properties.failedActions.serviceName viene mappato al campo UDM target.labels.
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes Se il valore del campo di log category è uguale a Initial Access: Excessive Permission Denied Actions, il campo di log sourceProperties.properties.failedActions.attemptTimes viene mappato al campo UDM target.labels.
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime Se il valore del campo log category è uguale a Initial Access: Excessive Permission Denied Actions, il campo di log sourceProperties.properties.failedActions.lastOccurredTime viene mappato al campo UDM target.labels.

    Riferimento per la mappatura dei campi: dall'identificatore dell'evento al tipo di evento

    Identificatore evento Tipo di evento Categoria di sicurezza
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED ESPLORA
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED ESPLORA
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    Le seguenti tabelle contengono tipi di eventi UDM e mappatura dei campi UDM per Security Command Center: le classi di risultati VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION.

    Categoria VULNERABILITY al tipo di evento UDM

    Nella tabella seguente sono elencati la categoria VULNERABILITY e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento Categoria di sicurezza
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK ESPLORA
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED

    Categoria MISCONFIGURATION al tipo di evento UDM

    La seguente tabella elenca la categoria MISCONFIGURATION e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    La categoria OBSERVATION al tipo di evento UDM

    Nella tabella seguente sono elencati la categoria OSSERVATION e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento
    Persistenza: chiave SSH del progetto aggiunta SETTING_MODIFICATION
    Persistenza: aggiungi ruolo sensibile RESOURCE_PERMISSIONS_CHANGE
    Impatto: istanza GPU creata USER_RESOURCE_CREATION
    Impatto: molte istanze create USER_RESOURCE_CREATION

    Categoria ERRORE al tipo di evento UDM

    Nella tabella seguente sono elencati la categoria ERRORE e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    Categoria UNSPECIFIED al tipo di evento UDM

    Nella tabella seguente sono elencati la categoria UNSPECIFIED e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento Categoria di sicurezza
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    Categoria POSTURE_VIOLATION al tipo di evento UDM

    Nella tabella seguente sono elencati la categoria POSTURE_VIOLATION e i tipi di eventi UDM corrispondenti.

    Identificatore evento Tipo di evento
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    Riferimento per la mappatura dei campi: VULNERABILITY

    Nella tabella seguente sono elencati i campi di log della categoria VULNERABILITY e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM Logica
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [nome_origine_proprietà]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    categoria extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name region estratto da resourceName mediante un pattern Grok e mappato al campo UDM principal.asset.location.name.
    resourceName principal.asset.product_object_id asset_prod_obj_id estratto da resourceName mediante un pattern Grok e mappato al campo UDM principal.asset.product_object_id.
    resourceName principal.asset.attribute.cloud.availability_zone zone_suffix estratto da resourceName mediante un pattern Grok e mappato al campo UDM principal.asset.attribute.cloud.availability_zone.
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    Riferimento per la mappatura dei campi: MISCONFIGURATION

    Nella tabella seguente sono elencati i campi di log della categoria MISCONFIGURATION e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivateCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivateReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_recommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    Riferimento per la mappatura dei campi: OBSERVATION

    Nella tabella seguente sono elencati i campi di log della categoria OSSERVATION e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [nome_asset_display]
    assetId target.asset.asset_id

    Riferimento mappatura campi: ERROR

    Nella tabella seguente sono elencati i campi di log della categoria ERROR e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivateCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Riferimento per la mappatura dei campi: UNSPECIFIED

    Nella tabella seguente sono elencati i campi log della categoria UNSPECIFIED e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivateCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    Riferimento per la mappatura dei campi: POSTURE_VIOLATION

    Nella tabella seguente sono elencati i campi log della categoria POSTURE_VIOLATION e i campi UDM corrispondenti.

    Campo log Mappatura UDM Logica
    finding.resourceName target.resource_ancestors.name Se il valore del campo log finding.resourceName non è vuoto, il campo log finding.resourceName viene mappato al campo UDM target.resource.name.

    Il campo project_name viene estratto dal campo log finding.resourceName mediante il pattern Grok.

    Se il valore del campo project_name non è vuoto, il campo project_name viene mappato al campo UDM target.resource_ancestors.name.
    resourceName target.resource_ancestors.name Se il valore del campo log resourceName non è vuoto, il campo log resourceName viene mappato al campo UDM target.resource.name.

    Il campo project_name viene estratto dal campo log resourceName utilizzando il pattern Grok.

    Se il valore del campo project_name non è vuoto, il campo project_name viene mappato al campo UDM target.resource_ancestors.name.
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment Se il valore del campo log finding.cloudProvider contiene uno dei seguenti valori, il campo log finding.cloudProvider viene mappato al campo UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    cloudProvider about.resource.attribute.cloud.environment Se il valore del campo log cloudProvider contiene uno dei seguenti valori, il campo log cloudProvider viene mappato al campo UDM about.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.cloudProvider target.resource.attribute.cloud.environment Se il valore del campo log resource.cloudProvider contiene uno dei seguenti valori, il campo log resource.cloudProvider viene mappato al campo UDM target.resource.attribute.cloud.environment.
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    .
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    Campi comuni: SECURITY Command CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

    La seguente tabella elenca i campi comuni delle categorie SECURITY Command CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION e TOXIC_COMBINATION e i campi UDM corrispondenti.

    Campo RawLog Mappatura UDM Logica
    compliances.ids about.labels.key/value [compliance_ids]
    compliances.version about.labels.key/value [compliance_version]
    compliances.standard about.labels.key/value [compliances_standard]
    connections.destinationIp about.labels[connections_destination_ip] Se il valore del campo log connections.destinationIp non è uguale a sourceProperties.properties.ipConnection.destIp, il campo log connections.destinationIp viene mappato al campo UDM about.labels.value.
    connections.destinationPort about.labels[connections_destination_port]
    connections.protocol about.labels[connections_protocol]
    connections.sourceIp about.labels[connections_source_ip]
    connections.sourcePort about.labels[connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type Il campo UDM target.resource_ancestors.resource_type è impostato su CLUSTER.
    about.resource.attribute.cloud.environment Il campo UDM about.resource.attribute.cloud.environment è impostato su GOOGLE_CLOUD_PLATFORM.
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id Se il valore del campo log canonicalName non è vuoto, finding_id viene estratto dal campo di log canonicalName utilizzando un pattern Grok.

    Se il valore del campo log finding_id è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.

    Se il valore del campo log canonicalName è vuoto, il campo log sourceProperties.evidence.sourceLogId.insertId viene mappato al campo UDM metadata.product_log_id.
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] Se il valore del campo log message corrisponde all'espressione regolare sourceProperties.sourceId.*?customerOrganizationNumber, il campo log sourceProperties.sourceId.customerOrganizationNumber viene mappato al campo UDM principal.resource.attribute.labels.value.
    resource.projectName principal.resource.name
    principal.user.account_type Se il valore del campo log access.principalSubject corrisponde all'espressione regolare serviceAccount, il campo UDM principal.user.account_type viene impostato su SERVICE_ACCOUNT_TYPE.

    In caso contrario, il valore del campo log access.principalSubject corrisponde all'espressione regolare user, il campo UDM principal.user.account_type viene impostato su CLOUD_ACCOUNT_TYPE.
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name Se il valore del campo log di message corrisponde all'espressione regolare contacts.?security, il campo UDM security_result.about.user.attribute.roles.name viene impostato su security.

    Se il valore del campo di log message corrisponde all'espressione regolare contacts.?technical, il campo UDM security_result.about.user.attribute.roles.name è impostato su Technical.
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state Se il valore del campo UDM state è uguale a ACTIVE, il campo UDM security_result.alert_state viene impostato su ALERTING.

    Altrimenti, il campo UDM security_result.alert_state è impostato su NOT_ALERTING.
    findingClass, category security_result.catgory_details Il campo del log findingClass - category è mappato al campo UDM security_result.catgory_details.
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteInitiator viene mappato al campo UDM security_result.detection_fields.value.
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] Se il valore del campo log mute è uguale a MUTED o UNMUTED, il campo log muteUpdateTimer viene mappato al campo UDM security_result.detection_fields.value.
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product Se il valore del campo di log category è uguale a Active Scan: Log4j Vulnerable to RCE o Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive o Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Over-Privileged Grant o Exfiltration: CloudSQL Restore Backup to External Organization o Initial Access: Log4j Compromise Attempt o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP o Persistence: IAM Anomalous Grant, il campo UDM security_result.detection_fields.key è impostato su sourceProperties_contextUris_relatedFindingUri_url e il campo di log sourceProperties.contextUris.relatedFindingUri.url è mappato al campo UDM metadata.url_back_to_product.
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] Se il valore del campo log category è uguale a Malware: Bad Domain, Malware: Bad IP o Malware: Cryptomining Bad Domain o Malware: Cryptomining Bad IP, il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.virustotalIndicatorQueryUri.url viene mappato al campo UDM security_result.detection_fields.value.
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] Se il valore del campo log category è uguale a Initial Access: Account Disabled Hijacked o Initial Access: Disabled Password Leak o Initial Access: Government Based Attack o Initial Access: Suspicious Login Blocked o Impair Defenses: Strong Authentication Disabled o Persistence: SSO Enablement Toggle o Persistence: SSO Settings Changed, il campo log sourceProperties.contextUris.workspacesUri.displayName viene mappato al campo UDM security_result.detection_fields.key e il campo log sourceProperties.contextUris.workspacesUri.url viene mappato al campo UDM security_result.detection_fields.value.
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority Se il valore del campo log di sourceProperties.detectionPriority è uguale a HIGH, il campo UDM security_result.priority è impostato su HIGH_PRIORITY.

    Altrimenti se il valore del campo UDM sourceProperties.detectionPriority è uguale a MEDIUM, il campo UDM security_result.priority è impostato su MEDIUM_PRIORITY.

    In caso contrario, il campo UDM di sourceProperties.detectionPriority è impostato su LOW, il campo UDM security_result.priority è impostato su LOW_PRIORITY.
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.query viene mappato al campo UDM src.process.command_line.

    In caso contrario, il campo log database.query è mappato al campo UDM target.process.command_line.
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.folders.resourceFolderDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.value.

    In caso contrario, il campo log resource.folders.resourceFolderDisplayName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.

    In caso contrario, il campo log resource.parentDisplayName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.parentName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.

    In caso contrario, il campo log resource.parentName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.projectDisplayName viene mappato al campo UDM src.resource_ancestors.attribute.labels.key/value.

    In caso contrario, il campo log resource.projectDisplayName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo log database.displayName viene mappato al campo UDM src.resource.attribute.labels.value.
    database.grantees src.resource.attribute.labels.key/value [database_grantees] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Over-Privileged Grant, il campo UDM src.resource.attribute.labels.key viene impostato su grantees e il campo log database.grantees viene mappato al campo UDM src.resource.attribute.labels.value.
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value.

    In caso contrario, il campo log resource.displayName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value.

    In caso contrario, il campo log resource.display_name è mappato al campo UDM target.resource.attribute.labels.value.
    resource.type src.resource_ancestors.resource_subtype Se il valore del campo log category è uguale a Exfiltration: BigQuery Data to Google Drive, il campo log resource.type viene mappato al campo UDM src.resource_ancestors.resource_subtype.
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.displayName viene mappato al campo UDM src.resource.attribute.labels.value.

    In caso contrario, il campo log resource.displayName è mappato al campo UDM target.resource.attribute.labels.value.
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Exfiltration o Exfiltration: BigQuery Data to Google Drive, il campo log resource.display_name viene mappato al campo UDM src.resource.attribute.labels.value.

    In caso contrario, il campo log resource.display_name è mappato al campo UDM target.resource.attribute.labels.value.
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.sources.components viene mappato al campo UDM src.resource.attribute.labels.value.
    resourceName src.resource.name Se il valore del campo log category è uguale a Exfiltration: BigQuery Data Extraction, Exfiltration: BigQuery Data to Google Drive o Exfiltration: BigQuery Data Exfiltration, il campo log resourceName viene mappato al campo UDM src.resource.name.
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application Se il valore del campo log category è uguale a Defense Evasion: Modify VPC Service Control o Exfiltration: BigQuery Data Extraction o Exfiltration: BigQuery Data to Google Drive o Exfiltration: CloudSQL Data Exfiltration o Exfiltration: CloudSQL Restore Backup to External Organization o Exfiltration: CloudSQL Over-Privileged Grant o Persistence: New Geography o Persistence: IAM Anomalous Grant, il campo di log access.serviceName è mappato al campo UDM target.application.
    access.methodName target.labels.key/value [access_methodName]
    processes.argumentsTruncated target.labels.key/value [processes_argumentsTruncated]
    processes.binary.contents target.labels.key/value [processes_binary_contents]
    processes.binary.hashedSize target.labels.key/value [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels.key/value [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels.key/value [processes_envVariables_name]
    processes.envVariables.val target.labels.key/value [processes_envVariables_val]
    processes.envVariablesTruncated target.labels.key/value [processes_envVariablesTruncated]
    processes.libraries.contents target.labels.key/value [processes_libraries_contents]
    processes.libraries.hashedSize target.labels.key/value [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels.key/value [processes_libraries_partiallyHashed]
    processes.script.contents target.labels.key/value [processes_script_contents]
    processes.script.hashedSize target.labels.key/value [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels.key/value [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName è mappato al campo UDM target.resource_ancestors.name.

    In caso contrario, se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName è mappato al campo UDM target.resource_ancestors.name.

    In caso contrario, se il valore del campo log category è uguale a Persistence: GCE Admin Added SSH Key o Persistence: GCE Admin Added Startup Script, il campo log sourceProperties.properties.projectId è mappato al campo UDM target.resource_ancestors.name.
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone Se il valore del campo log category è uguale a Brute Force: SSH, il campo log sourceProperties.properties.zone viene mappato al campo UDM target.resource.attribute.cloud.availability_zone.
    canonicalName metadata.product_log_id Il valore finding_id viene estratto dal campo di log canonicalName mediante un pattern Grok.

    Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM metadata.product_log_id.
    canonicalName src.resource.attribute.labels.key/value [finding_id] Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM src.resource.attribute.labels.key/value [finding_id].

    Se il valore del campo log category è uguale a uno dei seguenti valori, finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.product_object_id.

    Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM src.resource.attribute.labels.key/value [source_id].

    Se il valore del campo log category è uguale a uno dei seguenti valori, source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] Se il valore del campo log finding_id non è vuoto, il campo log finding_id viene mappato al campo UDM target.resource.attribute.labels.key/value [finding_id].

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore finding_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.product_object_id.

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] Se il valore del campo log source_id non è vuoto, il campo log source_id viene mappato al campo UDM target.resource.attribute.labels.key/value [source_id].

    Se il valore del campo log category non è uguale a uno dei seguenti valori, il valore source_id viene estratto dal campo log canonicalName utilizzando un pattern Grok:
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] Se il valore del campo log category è uguale a Exfiltration: CloudSQL Data Exfiltration o Exfiltration: BigQuery Data Extraction, il campo log exfiltration.targets.components viene mappato al campo UDM target.resource.attribute.labels.key/value.
    resourceName
    exfiltration.targets.name
    		 target.resource.name Se il valore del campo log category è uguale a Brute Force: SSH, il campo log resourceName è mappato al campo UDM target.resource_ancestors.name.

    Se il valore del campo log category è uguale a Malware: Bad Domain o Malware: Bad IP o Malware: Cryptomining Bad IP, il campo log resourceName è impostato su VIRTUAL_MACHINE.categorycategoryresourceNametarget.resource_ancestors.name





    target.resource.resource_typeExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RegionCode, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.location.country_or_region.
    sourceProperties.Header_Signature.significantValues.value principal.ip Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RemoteHost, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.ip.
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent Se il valore del campo log sourceProperties.Header_Signature.name è uguale a UserAgent, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM network.http.user_agent.
    sourceProperties.Header_Signature.significantValues.value principal.url Se il valore del campo log sourceProperties.Header_Signature.name è uguale a RequestUriPath, il campo log sourceProperties.Header_Signature.significantValues.value viene mappato al campo UDM principal.url.
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo UDM sourceProperties.compromised_account è mappato al campo UDM principal.user.userid e il campo UDM principal.user.account_type è impostato su SERVICE_ACCOUNT_TYPE.
    sourceProperties.project_identifier principal.resource.product_object_id Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.project_identifier è mappato al campo UDM principal.resource.product_object_id
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.private_key_identifier è mappato al campo UDM principal.user.attribute.labels.value
    sourceProperties.action_taken principal.labels.key/value [action_taken] Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.action_taken è mappato al campo UDM principal.labels.value
    sourceProperties.finding_type principal.labels.key/value [finding_type] Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.finding_type è mappato al campo UDM principal.labels.value
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.url è mappato al campo UDM principal.user.attribute.labels.value
    sourceProperties.security_result.summary security_result.summary Se il valore del campo log category è uguale a account_has_leaked_credentials, il campo log sourceProperties.security_result.summary è mappato al campo UDM security_result.summary
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]

    Passaggi successivi