Diese Seite wurde von der Cloud Translation API übersetzt.

Ergebnisse im Security Command Center erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Security Command Center-Logs erfassen, indem Sie Security Command Center konfigurieren und die Ergebnisse in Google Security Operations aufnehmen. In diesem Dokument sind auch die unterstützten Ereignisse aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations und Security Command Center-Ergebnisse in Google Security Operations exportieren. Eine typische Bereitstellung besteht aus dem Security Command Center und dem Google Security Operations-Feed, der so konfiguriert ist, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenimplementierung kann sich unterscheiden und komplexer sein.

Die Bereitstellung umfasst die folgenden Komponenten:

Google Cloud: Das zu überwachende System, in dem Security Command Center installiert ist.
Ergebnisse der Event Threat Detection-Funktion in Security Command Center: Hier werden Informationen aus der Datenquelle erfasst und Ergebnisse generiert.
Google Security Operations: Hier werden die Logs aus dem Security Command Center aufbewahrt und analysiert.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Security Command Center-Parser mit den folgenden Datenaufnahmelabels:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Security Command Center und Google Cloud konfigurieren, um Ergebnisse an Google Security Operations zu senden

Aktivieren Sie das Security Command Center.
Alle Systeme in der Bereitstellung müssen in der Zeitzone UTC konfiguriert sein.
Aktivieren Sie die Aufnahme von Security Command Center-Ergebnissen.

Unterstützte Ergebnisse der Event Threat Detection

In diesem Abschnitt werden die unterstützten Ergebnisse von Event Threat Detection aufgeführt. Informationen zu den Regeln und Ergebnissen der Event Threat Detection in Security Command Center finden Sie unter Event Threat Detection-Regeln.

Name des Ergebnisses	Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE	Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden.
Brute Force: SSH	Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt	Erkennt, wenn ein externes Mitglied einer privilegierten Google-Gruppe hinzugefügt wird (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht	Erkennt, wenn eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt	Erkennt, wenn vertrauliche Rollen einer Google-Gruppe mit externen Mitgliedern zugewiesen werden. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Defense Evasion: VPC Service Control modifizieren	Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, der zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.
Discovery: Kann vertrauliche Kubernetes-Objektprüfung abrufen (Vorabversion)	Ein böswilliger Akteur hat mithilfe des Befehls „kubectl auth can-i get“ versucht herauszufinden, welche sensiblen Objekte in der Google Kubernetes Engine (GKE) abgefragt werden können.
Erkennung: Dienstkonto-Prüfung	Erkennung von IAM-Dienstkonto-Anmeldedaten (Identity and Access Management), die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind.
E-Mail: Zugriff vom Anonymisierungs-Proxy	Erkennung von Google Cloud Dienständerungen, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration	Erkennt folgende Szenarien: Ressourcen, die der geschützten Organisation gehören und außerhalb der Organisation gespeichert sind, einschließlich Kopier- oder Übertragungsvorgängen. Versuche, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Control geschützt sind.
Exfiltration: BigQuery-Datenextraktion	Erkennt folgende Szenarien: Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert. Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.
Exfiltration: BigQuery-Daten in Google Drive	Erkennt folgende Szenarien: Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert.
Exfiltration: Cloud SQL-Daten-Exfiltration	Erkennt folgende Szenarien: Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation	Erkennt, wenn die Sicherung einer Cloud SQL-Instanz auf einer Instanz außerhalb der Organisation wiederhergestellt wird.
Exfiltration: Cloud SQL Überprivilegierte Berechtigung	Erkennt, wenn einem Cloud SQL for PostgreSQL-Nutzer oder einer Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert	Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert	Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.
Erstzugriff: Konto deaktiviert – Gehackt	Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.
Erstzugriff: Deaktiviert – Passwortleck	Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff	Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.
Anfangszugriff: Log4j-Kompromittierungsversuch	Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.
Erstzugriff: Verdächtige Anmeldung blockiert	Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.
Log4j-Malware: Ungültige Domain	Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten Domain, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse	Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain	Erkennung von Malware anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain.
Malware: Schädliche IP	Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Malware: Ungültige Domain für Kryptomining	Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Kryptowährung-Mining-Domain.
Malware: Schädliche Kryptomining-IP-Adresse	Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoS	Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt	Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Compute Engine-Administrator hat Startskript hinzugefügt	Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung	Erkennung von Berechtigungen, die IAM-Nutzern und -Dienstkonten gewährt wurden, die nicht Mitglieder der Organisation sind. Dieser Detektor verwendet die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn ein externes Mitglied eine vertrauliche IAM-Gewährung erhält und weniger als drei vorhandene IAM-Richtlinien ihr ähneln, generiert dieser Detektor ein Ergebnis.
Persistenz: Neue API-Methode (Vorabversion)	Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region	Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.
Persistenz: Neuer User-Agent	Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen.
Persistenz: Umschalter für SSO-Aktivierung	Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.
Persistenz: SSO-Einstellungen geändert	Die SSO-Einstellungen für das Administratorkonto wurden geändert.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten (Vorabversion)	Zur Rechteausweitung hat ein böswilliger Akteur mithilfe einer PUT- oder PATCH-Anfrage versucht, ClusterRole- und ClusterRoleBinding-Objekte der Rolle cluster-admin zu ändern.
Rechteausweitung: Kubernetes-CSR für Masterzertifikat erstellen (Vorabversion)	Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm die Zugriffsrechte der Rolle „cluster-admin“ gewährt.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen (Vorabversion)	Ein böswilliger Akteur hat versucht, neue RoleBinding- oder ClusterRoleBinding-Objekte vom Typ „cluster-admin“ zu erstellen, um seine Berechtigung auszuweiten.
Rechteausweitung: Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten abrufen (Vorabversion)	Ein böswilliger Akteur hat mithilfe des kubectl-Befehls und gehackter Bootstrap-Anmeldedaten eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) gesendet.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers (Vorabversion)	Ein böswilliger Akteur hat Pods erstellt, die privilegierte Container oder Container mit Funktionen zur Rechteausweitung enthalten. Bei einem privilegierten Container ist das Feld „privileged“ auf „true“ gesetzt. Bei einem Container mit der Fähigkeit zur Rechteausweitung ist das Feld „allowPrivilegeEscalation“ auf „true“ gesetzt.
Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt	Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt wird. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen inaktiv ist.
Prozessstruktur	Der Detector prüft den Prozessbaum aller laufenden Prozesse. Wenn ein Prozess ein Shell-Binärprogramm ist, prüft der Detector seinen übergeordneten Prozess. Wenn der übergeordnete Prozess ein Binärprogramm ist, das keinen Shell-Prozess starten sollte, löst der Detektor eine Meldung aus.
Unerwartete untergeordnete Shell	Der Detector prüft den Prozessbaum aller laufenden Prozesse. Wenn ein Prozess ein Shell-Binärprogramm ist, prüft der Detector seinen übergeordneten Prozess. Wenn der übergeordnete Prozess ein Binärprogramm ist, das keinen Shell-Prozess starten sollte, löst der Detektor eine Sicherheitswarnung aus.
Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt	Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Threat Intelligence als schädlich eingestuft wurde.
Ausführung: Modifizierte schädliche Binärdatei ausgeführt	Der Detektor sucht nach einer ausführbaren Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und auf der Grundlage von Bedrohungsinformationen als schädlich eingestuft wurde.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten	Erkennt, wenn eine anormale mehrstufige delegierte Anfrage für eine administrative Aktivität gefunden wird.
Verwendetes Break-Glass-Konto: break_glass_account	Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Konfigurierbare fehlerhafte Domain: APT29_Domains	Erkennt eine Verbindung zu einem angegebenen Domainnamen
Unerwartete Rollenzuweisung: Unzulässige Rollen	Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Konfigurierbare fehlerhafte IP-Adresse	Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Unerwarteter Compute Engine-Instanztyp	Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Unerwartetes Compute Engine-Quell-Image	Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Unerwartete Compute Engine-Region	Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung	Erkennt, wenn einem Hauptkonto eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen gewährt wird.
Unerwarteter Cloud API-Aufruf	Erkennt, wenn ein bestimmter Nutzer eine bestimmte Methode für eine bestimmte Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_ERROR

Die UDM-Zuordnung finden Sie in der Tabelle Referenz für die Feldzuordnung: FEHLER.

Name des Ergebnisses	Beschreibung
VPC_SC_RESTRICTION	Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Das Projekt, das für den kontinuierlichen Export nach Cloud Logging konfiguriert ist, ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.
API_DISABLED	Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.
KTD_IMAGE_PULL_FAILURE	Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Image-Host in Container Registry, abgerufen (heruntergeladen) werden kann. Das Image ist erforderlich, um das DaemonSet für Container Threat Detection bereitzustellen, das für Container Threat Detection erforderlich ist.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection kann nicht in einem Kubernetes-Cluster aktiviert werden. Ein Zulassungs-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das für Container Threat Detection erforderlich ist. In der Google Cloud Console enthalten die Details zur Feststellung die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als versucht wurde, ein DaemonSet-Objekt für die Containerbedrohungserkennung bereitzustellen.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Dem Security Command Center-Dienstkonto fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

Unterstützte Ergebnisse von GCP_SECURITYCENTER_OBSERVATION

Die UDM-Zuordnung finden Sie in der Tabelle Referenz für die Feldzuordnung: BEACHTEN.

Name des Ergebnisses	Beschreibung
Persistenz: SSH-Schlüssel für Projekt hinzugefügt	In einem Projekt, das älter als 10 Tage ist, wurde ein SSH-Schlüssel auf Projektebene erstellt.
Persistenz: Sensible Rolle hinzufügen	Eine sensible oder hochberechtigte IAM-Rolle auf Organisationsebene wurde in einer Organisation gewährt, die älter als 10 Tage ist.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_UNSPECIFIED

Sie finden die UDM-Zuordnung in der Tabelle Referenz für die Feldzuordnung: UNGEWISS.

Name des Ergebnisses	Beschreibung
OPEN_FIREWALL	Eine Firewall ist für den öffentlichen Zugriff konfiguriert.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_VULNERABILITY

Die UDM-Zuordnung finden Sie in der Tabelle Referenz für die Feldzuordnung: VULNERABILITY.

Name des Ergebnisses	Beschreibung
DISK_CSEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor.
ALPHA_CLUSTER_ENABLED	Alphacluster-Features sind für einen GKE-Cluster aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Clusters, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Die Funktion für automatische Upgrades eines GKE-Clusters, die dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
COS_NOT_USED	Compute Engine-VMs nutzen nicht das Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Google Cloud
INTEGRITY_MONITORING_DISABLED	Das Integritätsmonitoring ist für einen GKE-Cluster deaktiviert.
IP_ALIAS_DISABLED	Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.
LEGACY_METADATA_ENABLED	Legacy-Metadaten sind für GKE-Cluster aktiviert.
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
DATAPROC_IMAGE_OUTDATED	Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046).
PUBLIC_DATASET	Ein Dataset ist für den öffentlichen Zugriff freigegeben.
DNSSEC_DISABLED	DNSSEC ist für Cloud DNS-Zonen deaktiviert.
RSASHA1_FOR_SIGNING	RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.
REDIS_ROLE_USED_ON_ORG	Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.
KMS_PUBLIC_KEY	Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_EXTERNAL_SCRIPTS_ENABLED	Das Datenbank-Flag „external scripts enabled“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_ERROR_VERBOSITY	Das Datenbank-Flag „log_error_verbosity“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Standard“ oder einen strikteren Wert festgelegt.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Das Datenbank-Flag „log_min_duration_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „-1“ festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.
SQL_LOG_MIN_MESSAGES	Das Datenbank-Flag „log_min_messages“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Warnung“ festgelegt.
SQL_LOG_EXECUTOR_STATS_ENABLED	Das Datenbank-Flag „log_executor_status“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_HOSTNAME_ENABLED	Das Datenbank-Flag „log_hostname“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_PARSER_STATS_ENABLED	Das Datenbank-Flag „log_parser_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_PLANNER_STATS_ENABLED	Das Datenbank-Flag „log_planner_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_STATEMENT_STATS_ENABLED	Das Datenbank-Flag „log_statement_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ gesetzt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_WEAK_ROOT_PASSWORD	In einer Cloud SQL-Datenbank ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_LOG_BUCKET	Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich.
ACCESSIBLE_GIT_REPOSITORY	Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.
ACCESSIBLE_SVN_REPOSITORY	Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.
ACCESSIBLE_ENV_FILE	Eine ENV-Datei ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf die ENV-Datei.
CACHEABLE_PASSWORD_INPUT	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
CLEAR_TEXT_PASSWORD	Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders „Origin“, bevor er im Antwortheader „Access-Control-Allow-Origin“ widergespiegelt wird. Prüfen Sie zur Behebung dieses Problems, ob die erwartete Stammdomain Teil des Headerwerts „Origin“ ist, bevor Sie sie im Antwortheader „Access-Control-Allow-Origin“ angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des „Origin“-Anfrageheaders, bevor er im „Access-Control-Allow-Origin“-Antwortheader widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert „Origin“ übereinstimmt, bevor Sie sie im Antwortheader „Access-Control-Allow-Origin“ angeben, z. B. .equals("".google.com"").
INVALID_CONTENT_TYPE	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Legen Sie für den HTTP-Header „X-Content-Type-Options“ den richtigen Wert fest, um das Problem zu beheben.
INVALID_HEADER	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MISMATCHING_SECURITY_HEADER_VALUES	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MISSPELLED_SECURITY_HEADER_NAME	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MIXED_CONTENT	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.
OUTDATED_LIBRARY	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu korrigieren.
SERVER_SIDE_REQUEST_FORGERY	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.
SESSION_ID_LEAK	Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Referer-Anfrageheader. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.
SQL_INJECTION	Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.
STRUTS_INSECURE_DESERIALIZATION	Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
XSS	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
XSS_ANGULAR_CALLBACK	Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden, um das Problem zu beheben.
XSS_ERROR	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.
XXE_REFLECTED_FILE_LEAKAGE	Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.
BASIC_AUTHENTICATION_ENABLED	IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein.
CLIENT_CERT_AUTHENTICATION_DISABLED	Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden.
LABELS_NOT_USED	Mit Labels können Zahlungsinformationen aufgeschlüsselt werden
PUBLIC_STORAGE_OBJECT	Die Speicherobjekt-ACL sollte nicht allUsers den Zugriff gewähren.
SQL_BROAD_ROOT_LOGIN	Der Root-Zugriff auf eine SQL-Datenbank sollte auf als erlaubt gelistete, vertrauenswürdige IP-Adressen beschränkt werden
WEAK_CREDENTIALS	Dieser Detektor sucht mithilfe von ncrack-Brute-Force-Methoden nach schwachen Anmeldedaten. Unterstützte Dienste: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	Mit der Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Scripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
EXPOSED_GRAFANA_ENDPOINT	In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Durchsuchen von Verzeichnissen aufweist. Dadurch kann jeder Nutzer ohne Authentifizierung jede Datei auf dem Server lesen. Weitere Informationen finden Sie unter CVE-2021-43798.
EXPOSED_METABASE	Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Plattform für Datenanalysen, enthalten eine Sicherheitslücke in der Unterstützung benutzerdefinierter GeoJSON-Karten und eine potenzielle Einbindung lokaler Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht validiert. Weitere Informationen finden Sie unter CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen. Derzeit ist nur /heapdump aktiviert.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Dieser Detektor prüft, ob die Hadoop Yarn ResourceManager API verfügbar gemacht wird, die die Berechnungs- und Speicherressourcen eines Hadoop-Clusters steuert und eine nicht authentifizierte Ausführung von Code zulässt.
JAVA_JMX_RMI_EXPOSED	Die Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote-Methodenaufrufendpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet-MBean erstellen und damit neue MBeans aus beliebigen URLs erstellen.
JUPYTER_NOTEBOOK_EXPOSED_UI	Dieser Detektor prüft, ob ein nicht authentifiziertes Jupyter-Notebook verfügbar gemacht wird. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer. Ein nicht authentifiziertes Jupyter-Notebook gefährdet die Ausführung der Hosting-VM.
KUBERNETES_API_EXPOSED	Die Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
UNFINISHED_WORDPRESS_INSTALLATION	Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Eine nicht abgeschlossene WordPress-Installation zeigt die Seite /wp-admin/install.php an, über die Angreifer das Administratorpasswort festlegen und möglicherweise das System gefährden können.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Dieser Detektor prüft eine nicht authentifizierte Jenkins-Instanz, indem er einen Ping-Test an den Endpunkt /view/all/newJob als anonymen Besucher sendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular „createItem“ an, mit dem beliebige Jobs erstellt werden können, die zu einer Remote-Codeausführung führen können.
APACHE_HTTPD_RCE	Im Apache HTTP Server 2.4.49 wurde eine Sicherheitslücke gefunden, die es einem Angreifer ermöglicht, mit einem Pfad-Traversal-Angriff URLs Dateien außerhalb des erwarteten Dokumentenstammverzeichnisses zuzuordnen und die Quelle interpretierter Dateien wie CGI-Scripts zu sehen. Es ist bekannt, dass diese Schwachstelle in der Praxis ausgenutzt wird. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, aber nicht frühere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter: CVE-Eintrag CVE-2021-41773 Sicherheitslücken im Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Angreifer können einen URI zum Apache-Webserver erstellen, durch den mod_proxy die Anfrage an einen vom Angreifer ausgewählten Ursprungsserver weiterleitet. Dieses Problem betrifft den Apache HTTP-Server 2.4.48 und niedriger. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter: CVE-Eintrag CVE-2021-40438 Sicherheitslücken im Apache HTTP Server 2.4
CONSUL_RCE	Angreifer können beliebigen Code auf einem Consul-Server ausführen, da die Consul-Instanz mit -enable-script-checks auf „wahr“ konfiguriert ist und die Consul HTTP API nicht gesichert ist und über das Netzwerk zugänglich ist. In Consul 0.9.0 und niedriger sind Script-Prüfungen standardmäßig aktiviert. Weitere Informationen finden Sie unter Consul vor RCE-Risiken in bestimmten Konfigurationen schützen. Um nach dieser Sicherheitslücke zu suchen, registriert Rapid Vulnerability Detection einen Dienst bei der Consul-Instanz über den REST-Endpunkt „/v1/health/service“. Daraufhin wird einer der folgenden Schritte ausgeführt: * Ein Curl-Befehl an einen Remote-Server außerhalb des Netzwerks. Ein Angreifer kann den Befehl „curl“ verwenden, um Daten vom Server zu exfiltrieren. * Einen printf-Befehl. Die schnelle Erkennung von Sicherheitslücken prüft dann die Ausgabe des Befehls über den REST-Endpunkt /v1/health/service. * Nach der Prüfung beseitigt die schnelle Sicherheitslückenerkennung die Probleme und meldet den Dienst über den REST-Endpunkt /v1/agent/service/deregister/ ab.
DRUID_RCE	Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellten JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für die Verwendung in Umgebungen mit hoher Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und niedriger kann ein authentifizierter Nutzer jedoch eine speziell erstellte Anfrage senden, die Druid dazu zwingt, den von ihm bereitgestellten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. So kann Code mit den Berechtigungen des Druid-Serverprozesses auf dem Zielcomputer ausgeführt werden. Weitere Informationen finden Sie unter CVE-2021-25646.
DRUPAL_RCE	Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind für die Remote-Codeausführung bei AJAX-Anfragen an die Form API anfällig. Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für Remote-Code-Ausführung, wenn entweder das RESTful-Webdienst-Modul oder die JSON-Datei:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
FLINK_FILE_DISCLOSURE	Durch eine Sicherheitslücke in Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle des JobManager-Prozesses lesen. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
GITLAB_RCE	In GitLab Community Edition (CE) und Enterprise Edition (EE) Version 11.9 und höher werden Bilddateien, die an einen Dateiparser übergeben werden, von GitLab nicht ordnungsgemäß validiert. Ein Angreifer kann diese Sicherheitslücke für die Ausführung von Remote-Befehlen ausnutzen.
GoCD_RCE	In GoCD 21.2.0 und niedriger gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt weist eine Sicherheitslücke beim Durchsuchen von Verzeichnissen auf, die es einem Nutzer ermöglicht, jede Datei auf dem Server ohne Authentifizierung zu lesen.
JENKINS_RCE	Jenkins-Versionen 2.56 und älter sowie 2.46.1 LTS und älter sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch einen nicht authentifizierten Angreifer über ein schädliches serialisiertes Java-Objekt ausgelöst werden.
JOOMLA_RCE	Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann mit einem erstellten Header mit serialisierten PHP-Objekten ausgelöst werden. Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch Senden einer POST-Anfrage ausgelöst werden, die ein manipuliertes serialisiertes PHP-Objekt enthält.
LOG4J_RCE	In Apache Log4j2 2.14.1 und niedriger schützen die JNDI-Funktionen, die in Konfigurationen, Protokollmeldungen und Parametern verwendet werden, nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT bis Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer Wert für „confirm_hash“ bereitgestellt.
OGNL_RCE	Confluence-Server- und -Rechenzentrumsinstanzen enthalten eine OGNL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen. Weitere Informationen finden Sie unter CVE-2021-26084.
OPENAM_RCE	OpenAM-Server 14.6.2 und älter sowie ForgeRock AM-Server 6.5.3 und älter haben eine Java-Deserialisierungslücke im Parameter „jato.pageSession“ auf mehreren Seiten. Für die Ausnutzung ist keine Authentifizierung erforderlich. Die Remote-Codeausführung kann durch Senden einer einzelnen manipulierten /ccversion/*-Anfrage an den Server ausgelöst werden. Die Sicherheitslücke ergibt sich durch die Verwendung der Sun ONE-Anwendung. Weitere Informationen finden Sie unter CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, einen Oracle WebLogic-Server zu manipulieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zur Übernahme des Oracle WebLogic-Servers führen. Weitere Informationen finden Sie unter CVE-2020-14882.
PHPUNIT_RCE	PHPUnit-Versionen vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
PHP_CGI_RCE	PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2, wenn sie als CGI-Script konfiguriert sind, die Ausführung von Remote-Code zulassen. Der anfällige Code verarbeitet Abfragestrings, die kein Gleichheitszeichen enthalten, nicht ordnungsgemäß. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
PORTAL_RCE	Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
REDIS_RCE	Wenn für die Ausführung von Administratorbefehlen in einer Redis-Instanz keine Authentifizierung erforderlich ist, können Angreifer möglicherweise beliebigen Code ausführen.
SOLR_FILE_EXPOSED	Die Authentifizierung ist in Apache Solr, einem Open-Source-Suchserver, nicht aktiviert. Wenn für Apache Solr keine Authentifizierung erforderlich ist, kann ein Angreifer direkt eine Anfrage erstellen, um eine bestimmte Konfiguration zu aktivieren, und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen.
SOLR_RCE	Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Ausführung von Remote-Code über den VelocityResponseWriter, wenn „params.resource.loader.enabled“ auf „true“ gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
STRUTS_RCE	Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind für die Remote-Codeausführung anfällig. Die Sicherheitslücke kann durch einen nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt. Das REST-Plug-in in Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist anfällig für die Remote-Codeausführung bei der Deserialisierung von manipulierten XML-Nutzlasten. Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn „alwaysSelectFullNamespace“ auf „true“ gesetzt ist und bestimmte Es sind noch andere Aktionskonfigurationen vorhanden.
TOMCAT_FILE_DISCLOSURE	Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für die Offenlegung von Quellcode und Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
VBULLETIN_RCE	vBulletin-Server, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer Routestring-Anfrage verwendet.
VCENTER_RCE	VMware vCenter Server-Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l und 6.5 vor 6.5 U3n sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke zur Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese Sicherheitslücke hängt mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883 zusammen. Weitere Informationen finden Sie unter CVE-2020-14883.
OS_VULNERABILITY	VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.
UNUSED_IAM_ROLE	Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	Der IAM-Recommender hat festgestellt, dass die ursprüngliche IAM-Standardrolle, die einem Kundenservicemitarbeiter gewährt wurde, durch eine der einfachen IAM-Rollen „Inhaber“, „Bearbeiter“ oder „Betrachter“ ersetzt wurde. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_MISCONFIGURATION

Die UDM-Zuordnung finden Sie in der Tabelle Referenz für die Feldzuordnung: FEHLERKONTROLLE.

Name des Ergebnisses	Beschreibung
API_KEY_APIS_UNRESTRICTED	API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.
API_KEY_APPS_UNRESTRICTED	API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.
API_KEY_EXISTS	Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.
API_KEY_NOT_ROTATED	Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert
PUBLIC_COMPUTE_IMAGE	Ein Compute Engine-Image ist öffentlich zugänglich.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing ist auf einer Compute Engine-Instanz deaktiviert.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.
COMPUTE_SECURE_BOOT_DISABLED	Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.
DEFAULT_SERVICE_ACCOUNT_USED	Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.
FULL_API_ACCESS	Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
OS_LOGIN_DISABLED	OS Login ist für diese Instanz deaktiviert.
PUBLIC_IP_ADDRESS	Eine Instanz hat eine öffentliche IP-Adresse.
SHIELDED_VM_DISABLED	Shielded VM ist für diese Instanz deaktiviert.
COMPUTE_SERIAL_PORTS_ENABLED	Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.
DISK_CMEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
HTTP_LOAD_BALANCER	Eine Instanz verwendet einen Load Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.
IP_FORWARDING_ENABLED	Die IP-Weiterleitung ist für Instanzen aktiviert.
WEAK_SSL_POLICY	Eine Instanz hat eine schwache SSL-Richtlinie.
BINARY_AUTHORIZATION_DISABLED	Die Binärautorisierung ist in einem GKE-Cluster deaktiviert.
CLUSTER_LOGGING_DISABLED	Logging ist für einen GKE-Cluster nicht aktiviert.
CLUSTER_MONITORING_DISABLED	Monitoring ist auf GKE-Clustern deaktiviert.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.
INTRANODE_VISIBILITY_DISABLED	Knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Autorisierte Netzwerke auf Steuerungsebene sind in GKE-Clustern nicht aktiviert.
NETWORK_POLICY_DISABLED	Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.
NODEPOOL_SECURE_BOOT_DISABLED	Secure Boot ist für einen GKE-Cluster deaktiviert.
OVER_PRIVILEGED_ACCOUNT	Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff.
OVER_PRIVILEGED_SCOPES	Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy ist in einem GKE-Cluster deaktiviert.
PRIVATE_CLUSTER_DISABLED	Auf einem GKE-Cluster ist ein privater Cluster deaktiviert.
WORKLOAD_IDENTITY_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
LEGACY_AUTHORIZATION_ENABLED	Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.
NODEPOOL_BOOT_CMEK_DISABLED	Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
WEB_UI_ENABLED	Die GKE-Web-UI (Dashboard) ist aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Clusters, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Die Funktion für automatische Upgrades eines GKE-Clusters, die dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
BIGQUERY_TABLE_CMEK_DISABLED	Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
DATASET_CMEK_DISABLED	Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
EGRESS_DENY_RULE_NOT_SET	In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.
FIREWALL_RULE_LOGGING_DISABLED	Firewallregel-Logging ist deaktiviert. Das Logging von Firewallregeln sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.
OPEN_CASSANDRA_PORT	Eine Firewall ist für einen offenen Cassandra-Port mit generischem Zugriff konfiguriert.
Offener SMTP-Port	Eine Firewall ist für einen offenen SMTP-Port mit generischem Zugriff konfiguriert.
OPEN_REDIS_PORT	Eine Firewall ist für einen offenen REDIS-Port mit generischem Zugriff konfiguriert.
OPEN_POSTGRESQL_PORT	Eine Firewall ist für einen offenen PostgreSQL-Port mit generischem Zugriff konfiguriert.
OPEN_POP3_PORT	Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert.
OPEN_ORACLEDB_PORT	Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert.
OPEN_NETBIOS_PORT	Eine Firewall ist für einen offenen NETBIOS-Port mit generischem Zugriff konfiguriert.
OPEN_MYSQL_PORT	Eine Firewall ist für einen offenen MYSQL-Port mit generischem Zugriff konfiguriert.
OPEN_MONGODB_PORT	Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert.
OPEN_MEMCACHED_PORT	Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert.
OPEN_LDAP_PORT	Eine Firewall ist für einen offenen LDAP-Port mit generischem Zugriff konfiguriert.
OPEN_FTP_PORT	Eine Firewall ist für einen offenen FTP-Port mit generischem Zugriff konfiguriert.
OPEN_ELASTICSEARCH_PORT	Eine Firewall ist für einen offenen ELASTICSEARCH-Port mit generischem Zugriff konfiguriert.
OPEN_DNS_PORT	Eine Firewall ist für einen offenen DNS-Port mit generischem Zugriff konfiguriert.
OPEN_HTTP_PORT	Eine Firewall ist für einen offenen HTTP-Port mit generischem Zugriff konfiguriert.
OPEN_DIRECTORY_SERVICES_PORT	Eine Firewall ist für einen offenen DIRECTORY_SERVICES-Port mit generischem Zugriff konfiguriert.
OPEN_CISCOSECURE_WEBSM_PORT	Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.
OPEN_RDP_PORT	Eine Firewall ist für einen offenen RDP-Port mit generischem Zugriff konfiguriert.
OPEN_TELNET_PORT	Eine Firewall ist für einen offenen TELNET-Port mit generischem Zugriff konfiguriert.
OPEN_FIREWALL	Eine Firewall ist für den öffentlichen Zugriff konfiguriert.
OPEN_SSH_PORT	Eine Firewall ist für einen offenen SSH-Port mit generischem Zugriff konfiguriert.
SERVICE_ACCOUNT_ROLE_SEPARATION	Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“.
NON_ORG_IAM_MEMBER	Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS Google Cloud Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Ein Nutzer hat die Rolle „Dienstkontonutzer“ oder „Dienstkonto-Token-Ersteller“ auf Projektebene, statt für ein bestimmtes Dienstkonto.
ADMIN_SERVICE_ACCOUNT	Ein Dienstkonto hat Administrator-, Inhaber- oder Bearbeiterberechtigungen. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Ein Nutzer verwaltet einen Dienstkontoschlüssel.
PRIMITIVE_ROLES_USED	Ein Nutzer hat die einfache Rolle „Inhaber“, „Autor“ oder „Leser“. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden.
KMS_ROLE_SEPARATION	Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Rollen hat: Cloud KMS-CryptoKey-Verschlüsseler/Entschlüsseler (Cloud Key Management Service), Verschlüsseler oder Entschlüsseler.
OPEN_GROUP_IAM_MEMBER	Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet.
KMS_KEY_NOT_ROTATED	Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Schlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden.
KMS_PROJECT_HAS_OWNER	Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln.
TOO_MANY_KMS_USERS	Es gibt mehr als drei Nutzer kryptografischer Schlüssel.
OBJECT_VERSIONING_DISABLED	Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.
LOCKED_RETENTION_POLICY_NOT_SET	Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.
BUCKET_LOGGING_DISABLED	Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.
LOG_NOT_EXPORTED	Für eine Ressource ist keine geeignete Logsenke konfiguriert.
AUDIT_LOGGING_DISABLED	Audit-Logging wurde für diese Ressource deaktiviert.
MFA_NOT_ENFORCED	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.
ROUTE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.
OWNER_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.
AUDIT_CONFIG_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.
BUCKET_IAM_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert.
CUSTOM_ROLE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert.
FIREWALL_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert.
NETWORK_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.
SQL_INSTANCE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.
DEFAULT_NETWORK	Das Standardnetzwerk ist in einem Projekt vorhanden.
DNS_LOGGING_DISABLED	Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert.
PUBSUB_CMEK_DISABLED	Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_SQL_INSTANCE	Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.
SSL_NOT_ENFORCED	Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.
AUTO_BACKUP_DISABLED	In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.
SQL_CMEK_DISABLED	Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_LOG_CHECKPOINTS_DISABLED	Das Datenbank-Flag „log_checkpoints“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_CONNECTIONS_DISABLED	Das Datenbank-Flag „log_connections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_DISCONNECTIONS_DISABLED	Das Datenbank-Flag „log_disconnections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_DURATION_DISABLED	Das Datenbank-Flag „log_duration“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „An“ gesetzt.
SQL_LOG_LOCK_WAITS_DISABLED	Das Datenbank-Flag „log_lock_waits“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „An“ festgelegt.
SQL_LOG_STATEMENT	Das Datenbank-Flag „log_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ddl“ (alle Datendefinitionsanweisungen) gesetzt.
SQL_NO_ROOT_PASSWORD	Für eine Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_PUBLIC_IP	Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ gesetzt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
PUBLIC_BUCKET_ACL	Ein Cloud Storage-Bucket ist öffentlich zugänglich.
BUCKET_POLICY_ONLY_DISABLED	Der einheitliche Zugriff auf Bucket-Ebene, zuvor als „Nur Bucket-Richtlinie“ bezeichnet, ist nicht konfiguriert.
BUCKET_CMEK_DISABLED	Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
FLOW_LOGS_DISABLED	Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.
PRIVATE_GOOGLE_ACCESS_DISABLED	Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs.
kms_key_region_europe	Gemäß den Unternehmensrichtlinien müssen alle Verschlüsselungsschlüssel in Europa gespeichert bleiben.
kms_non_euro_region	Gemäß den Unternehmensrichtlinien müssen alle Verschlüsselungsschlüssel in Europa gespeichert bleiben.
LEGACY_NETWORK	Ein Legacy-Netzwerk ist in einem Projekt vorhanden.
LOAD_BALANCER_LOGGING_DISABLED	Das Logging ist für den Load Balancer deaktiviert.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_POSTURE_VIOLATION

Die UDM-Zuordnung finden Sie in der Tabelle Referenz für die Feldzuordnung: POSTURE VIOLATION.

Name des Ergebnisses	Beschreibung
SECURITY_POSTURE_DRIFT	Abweichungen von den definierten Richtlinien im Rahmen des Sicherheitsstatus. Dies wird vom Dienst zur Sicherheitslage erkannt.
SECURITY_POSTURE_POLICY_DRIFT	Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die nicht im Rahmen einer Statusaktualisierung erfolgt ist.
SECURITY_POSTURE_POLICY_DELETE	Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang erfolgte nicht im Rahmen eines Statusupdates.
SECURITY_POSTURE_DETECTOR_DRIFT	Der Dienst zur Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat.
SECURITY_POSTURE_DETECTOR_DELETE	Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieser Löschvorgang erfolgte nicht im Rahmen eines Statusupdates.

Referenz für die Feldzuordnung

In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser Security Command Center-Protokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations für die Datensätze zuordnet.

Referenz für die Feldzuordnung: Rohdatenlogfelder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Ergebnisse der Ereignis-Bedrohungserkennung in Security Command Center aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Wert des `connections.destinationIp`-Logfelds nicht mit dem `sourceProperties.properties.ipConnection.destIp` übereinstimmt, wird das `connections.destinationIp`-Logfeld dem `about.labels.value`-UDM-Feld zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Wert des `connections.destinationIp`-Logfelds nicht mit dem `sourceProperties.properties.ipConnection.destIp` übereinstimmt, wird das `connections.destinationIp`-Logfeld dem `additional.fields.value.string_value`-UDM-Feld zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `kubernetes` übereinstimmt, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf „CLUSTER“ gesetzt. Andernfalls, wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `kubernetes.*?pods` übereinstimmt, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf „POD“ gesetzt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das `extension.auth.type`-UDM-Feld auf `SSO` gesetzt.
	`extension.mechanism`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das UDM-Feld `extension.mechanism` auf `USERNAME_PASSWORD` gesetzt.
	`extensions.auth.type`	Wenn der Wert des `principal.user.user_authentication_status`-Logfelds `ACTIVE` entspricht, wird das UDM-Feld `extensions.auth.type` auf `SSO` gesetzt.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Wenn der Wert des `category`-Logfelds `Initial Access: Log4j Compromise Attempt` entspricht, wird das `sourceProperties.properties.loadBalancerName`-Logfeld dem `intermediary.resource.name`-UDM-Feld zugeordnet.
	`intermediary.resource.resource_type`	Wenn der Wert des `category`-Logfelds `Initial Access: Log4j Compromise Attempt` entspricht, wird das UDM-Feld `intermediary.resource.resource_type` auf `BACKEND_SERVICE` gesetzt.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des `canonicalName`-Logfelds nicht leer ist, wird der `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert. Wenn der Wert des `finding_id`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet. Wenn der Wert des `canonicalName`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet.
	`metadata.product_name`	Das UDM-Feld `metadata.product_name` ist auf `Security Command Center` gesetzt.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Das UDM-Feld `metadata.vendor_name` ist auf `Google` gesetzt.
	`network.application_protocol`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` entspricht, wird das `network.application_protocol`-UDM-Feld auf `DNS` gesetzt.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` entspricht, wird das `sourceProperties.properties.indicatorContext.asn`-Logfeld dem `network.asn`-UDM-Feld zugeordnet.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` entspricht, wird das `sourceProperties.properties.indicatorContext.carrierName`-Logfeld dem `network.carrier_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.indicatorContext.reverseDnsDomain`-Logfeld dem `network.dns_domain`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` entspricht, wird das `sourceProperties.properties.dnsContexts.responseData.responseClass`-Logfeld dem `network.dns.answers.class`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Malware: Bad Domain` übereinstimmt, wird das `sourceProperties.properties.dnsContexts.responseData.responseValue`-Logfeld dem UDM-Feld `network.dns.answers.data` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` entspricht, wird das `sourceProperties.properties.dnsContexts.responseData.domainName`-Logfeld dem `network.dns.answers.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` entspricht, wird das `sourceProperties.properties.dnsContexts.responseData.ttl`-Logfeld dem UDM-Feld `network.dns.answers.ttl` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` entspricht, wird das `sourceProperties.properties.dnsContexts.responseData.responseType`-Logfeld dem `network.dns.answers.type`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das `sourceProperties.properties.dnsContexts.authAnswer`-Logfeld dem `network.dns.authoritative`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das `sourceProperties.properties.dnsContexts.queryName`-Logfeld dem `network.dns.questions.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das `sourceProperties.properties.dnsContexts.queryType`-Logfeld dem `network.dns.questions.type`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das `sourceProperties.properties.dnsContexts.responseCode`-Logfeld dem `network.dns.response_code`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.callerUserAgent`-Logfeld dem `network.http.user_agent`-UDM-Feld zugeordnet.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.callerUserAgent`-Logfeld dem `network.http.user_agent`-UDM-Feld zugeordnet.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`-Logfeld dem `network.http.user_agent`-UDM-Feld zugeordnet.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Wenn der Wert des `category`-Logfelds `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das `network.ip_protocol`-UDM-Feld auf einen der folgenden Werte gesetzt: `ICMP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `1` oder `ICMP`. `IGMP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `2` oder `IGMP`. `TCP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `6` oder `TCP`. `UDP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `17` oder `UDP`. `IP6IN4`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `41` oder `IP6IN4`. `GRE`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `47` oder `GRE`. `ESP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `50` oder `ESP`. `EIGRP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `88` oder `EIGRP`. `ETHERIP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `97` oder `ETHERIP`. `PIM`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `103` oder `PIM`. `VRRP`, wenn folgende Bedingungen erfüllt sind: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `112` oder `VRRP`. `UNKNOWN_IP_PROTOCOL`, wenn der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds mit einem anderen Wert übereinstimmt.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.indicatorContext.organizationName`-Logfeld dem `network.organization_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.behaviorPeriod`-Logfeld dem `network.session_duration`-UDM-Feld zugeordnet.
`sourceProperties.properties.sourceIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das `sourceProperties.properties.sourceIp`-Logfeld dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.attempts.sourceIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`access.callerIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das `access.callerIp`-Logfeld dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Evasion: Access from Anonymizing Proxy` entspricht, wird das `sourceProperties.properties.changeFromBadIp.ip`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das `sourceProperties.properties.dnsContexts.sourceIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das `sourceProperties.properties.ipConnection.srcIp`-Logfeld dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` entspricht und der Wert des `sourceProperties.properties.ipConnection.srcIp`-Logfelds nicht mit `sourceProperties.properties.indicatorContext.ipAddress` übereinstimmt, wird das `sourceProperties.properties.indicatorContext.ipAddress`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Persistence: New Geography` entspricht, wird das `sourceProperties.properties.anomalousLocation.callerIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (verworfen)	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das `sourceProperties.properties.scannerDomain`-Logfeld dem UDM-Feld `principal.labels.key/value` zugeordnet.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das `sourceProperties.properties.scannerDomain`-Logfeld dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (verworfen)	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.jobState`-Logfeld dem `principal.labels.key/value`- und UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.jobState`-Logfeld dem `additional.fields.value.string_value`-UDM-Feld zugeordnet.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.indicatorContext.countryCode`-Logfeld dem `principal.location.country_or_region`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.job.location`-Logfeld dem `principal.location.country_or_region`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.job.location`-Logfeld dem `principal.location.country_or_region`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Wenn der Wert des `category`-Logfelds `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`-Logfeld dem `principal.location.country_or_region`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.anomalousLocation.anomalousLocation`-Logfeld dem `principal.location.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das `sourceProperties.properties.ipConnection.srcPort`-Logfeld dem `principal.port`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.jobLink`-Logfeld dem `principal.process.file.full_path`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.jobLink`-Logfeld dem `principal.process.file.full_path`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.job.jobId`-Logfeld dem `principal.process.pid`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.job.jobId`-Logfeld dem `principal.process.pid`-UDM-Feld zugeordnet.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.srcVpc.subnetworkName`-Logfeld dem `principal.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.srcVpc.projectId`-Logfeld dem `principal.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `principal.resource_ancestors.name`-UDM-Feld zugeordnet und das `principal.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das `sourceProperties.sourceId.customerOrganizationNumber`-Logfeld dem UDM-Feld `principal.resource.attribute.labels.key/value` zugeordnet.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Wenn der Wert des `sourceProperties.properties.projectId`-Logfelds nicht leer ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `principal.resource.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`-Logfeld dem `principal.resource.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Wenn der Wert des `category`-Logfelds `Malware: Outgoing DoS` entspricht, wird das `sourceProperties.properties.sourceInstanceDetails`-Logfeld dem `principal.resource.name`-UDM-Feld zugeordnet.
	`principal.user.account_type`	Wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das `principal.user.account_type`-UDM-Feld auf `SERVICE_ACCOUNT_TYPE` festgelegt. Andernfalls, wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `user` übereinstimmt, wird das `principal.user.account_type`-UDM-Feld auf `CLOUD_ACCOUNT_TYPE` festgelegt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `principal.user.attribute.labels.key`-UDM-Feld auf `rawUserAgent` gesetzt und das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`-Logfeld wird dem `principal.user.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Evasion: Access from Anonymizing Proxy` entspricht, wird das `sourceProperties.properties.changeFromBadIp.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.userEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das `sourceProperties.properties.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds `Initial Access: Suspicious Login Blocked` ist, wird das `sourceProperties.properties.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`access.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Persistence: New Geography` ist, wird das `access.principalEmail`-Logfeld dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` entspricht, wird das `sourceProperties.properties.restoreToExternalInstance.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Persistence: New Geography` entspricht, wird das `sourceProperties.properties.anomalousLocation.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Credential Access: External Member Added To Privileged Group` entspricht, wird das `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Credential Access: Sensitive Role Granted To Hybrid Group` entspricht, wird das `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.vpcViolation.userEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das `sourceProperties.properties.ssoState`-Logfeld dem UDM-Feld `principal.user.user_authentication_status` zugeordnet.
`database.userName`	`principal.user.userid`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.userName`-Logfeld dem `principal.user.userid`-UDM-Feld zugeordnet.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.threatIntelligenceSource`-Logfeld dem `security_result.about.application`-UDM-Feld zugeordnet.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.attempts.sourceIp`-Logfeld dem `security_result.about.ip`-UDM-Feld zugeordnet.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.delta.restrictedResources.resourceName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet und das `security_result.about.resource_type`-UDM-Feld wird auf `CLOUD_PROJECT` gesetzt.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.delta.allowedServices.serviceName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet und das `security_result.about.resource_type`-UDM-Feld wird auf `BACKEND_SERVICE` gesetzt.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.delta.restrictedServices.serviceName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet und das `security_result.about.resource_type`-UDM-Feld wird auf `BACKEND_SERVICE` gesetzt.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.delta.accessLevels.policyName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet und das `security_result.about.resource_type`-UDM-Feld auf `ACCESS_POLICY` gesetzt.
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das `security_result.about.user.attribute.roles.name`-UDM-Feld auf `security` festgelegt. Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das `security_result.about.user.attribute.roles.name`-UDM-Feld auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Wenn der Wert des `category`-Logfelds `Initial Access: Suspicious Login Blocked` entspricht, wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt. Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht und der Wert des `sourceProperties.properties.attempts.authResult`-Logfelds `SUCCESS` entspricht, wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt. Andernfalls wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.delta.restrictedResources.action`-Logfeld dem `security_result.action_details`-UDM-Feld zugeordnet.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.delta.restrictedServices.action`-Logfeld dem `security_result.action_details`-UDM-Feld zugeordnet.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.delta.allowedServices.action`-Logfeld dem `security_result.action_details`-UDM-Feld zugeordnet.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.delta.accessLevels.action`-Logfeld dem `security_result.action_details`-UDM-Feld zugeordnet.
	`security_result.alert_state`	Wenn der Wert des `state`-Logfelds `ACTIVE` entspricht, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Andernfalls wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass`	`security_result.catgory_details`	Das Log-Feld `findingClass - category` wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`category`	`security_result.catgory_details`	Das Log-Feld `findingClass - category` wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des `mute`-Logfelds `MUTED` oder `UNMUTED` ist, wird das `muteInitiator`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des `mute`-Logfelds `MUTED` oder `UNMUTED` ist, wird das `muteUpdateTimer`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.attempts.authResult`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.indicatorType`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.customer_industry`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.customer_name`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.lasthit`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.myVote`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.support_id`-Logfeld dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_class_id`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`-Logfeld dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`-Logfeld dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.tag_name`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.upVotes`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.downVotes`-Logfeld dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` oder `Persistence: IAM Anomalous Grant` ist, wird das UDM-Feld `security_result.detection_fields.key` auf `sourceProperties_contextUris_relatedFindingUri_url` gesetzt und das `sourceProperties.contextUris.relatedFindingUri.url`-Logfeld wird dem UDM-Feld `metadata.url_back_to_product` zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName`-Logfeld dem `security_result.detection_fields.key`-UDM-Feld und das `sourceProperties.contextUris.virustotalIndicatorQueryUri.url`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.contextUris.workspacesUri.displayName`-Logfeld dem `security_result.detection_fields.key`-UDM-Feld und das `sourceProperties.contextUris.workspacesUri.url`-Logfeld dem `security_result.detection_fields.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.public_tag_name`-Logfeld dem `intermediary.labels.key`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.tags.description`-Logfeld dem `intermediary.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`-Logfeld dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `HIGH` entspricht, wird das `security_result.priority`-UDM-Feld auf `HIGH_PRIORITY` gesetzt. Andernfalls wird das `security_result.priority`-UDM-Feld auf `MEDIUM_PRIORITY` gesetzt, wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `MEDIUM` entspricht. Andernfalls wird das `security_result.priority`-UDM-Feld auf `LOW_PRIORITY` gesetzt, wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `LOW` entspricht.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Exfiltration` entspricht, wird das `sourceProperties.properties.vpcViolation.violationReason`-Logfeld dem `security_result.summary`-UDM-Feld zugeordnet.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.query`-Logfeld dem `src.process.command_line`-UDM-Feld zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.folders.resourceFolderDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.parentDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.parentName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.projectDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`parent`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `parent`-Logfeld dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet und das `src.resource_ancestors.resource_type`-UDM-Feld wird auf `TABLE` gesetzt.
`resourceName`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` entspricht, wird das `resourceName`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.folders.resourceFolder`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `sourceProperties.sourceId.customerOrganizationNumber`-Logfeld dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `sourceProperties.sourceId.projectNumber`-Logfeld dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `sourceProperties.sourceId.organizationNumber`-Logfeld dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.type`-Logfeld dem `src.resource_ancestors.resource_subtype`-UDM-Feld zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `src.resource.attribute.labels.key`-UDM-Feld auf `grantees` gesetzt und das `database.grantees`-Logfeld wird dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.displayName`	`principal.hostname`	Wenn der Wert des `resource.type`-Logfelds mit dem regulären Ausdruck `(?i)google.compute.Instance or google.container.Cluster` übereinstimmt, wird das `resource.displayName`-Logfeld dem UDM-Feld `principal.hostname` zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.display_name`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.sourceTable.datasetId`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.sourceTable.projectId`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` entspricht, wird das `sourceProperties.properties.restoreToExternalInstance.backupId`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das `src.resource.attribute.labels.key/value`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `exfiltration.sources.name`-Logfeld dem `src.resource.name`-UDM-Feld und das `resourceName`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` entspricht, wird das `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`-Logfeld dem `src.resource.name`-UDM-Feld zugeordnet und das `src.resource.resource_subtype`-UDM-Feld wird auf `CloudSQL` gesetzt.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` entspricht, wird das `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`-Logfeld dem `src.resource.name`-UDM-Feld zugeordnet und das `src.resource.resource_subtype`-UDM-Feld wird auf `CloudSQL` gesetzt. Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` entspricht, wird das `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`-Logfeld dem `src.resource.name`-UDM-Feld zugeordnet und das `src.resource.resource_subtype`-UDM-Feld wird auf `CloudSQL` gesetzt.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `exfiltration.sources.name`-Logfeld dem `src.resource.name`-UDM-Feld und das `resourceName`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.sourceTable.tableId`-Logfeld dem `src.resource.product_object_id`-UDM-Feld zugeordnet.
`access.serviceName`	`target.application`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das `access.serviceName`-Logfeld dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.serviceName`	`target.application`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.properties.serviceName`-Logfeld dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.domainName`	`target.domain.name`	Wenn der Wert des `category`-Logfelds `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.properties.domainName`-Logfeld dem `target.domain.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.domains.0`	`target.domain.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.domains.0`-Logfeld dem UDM-Feld `target.domain.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`-Logfeld dem `target.group.attribute.labels.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Wenn der Wert des `category`-Logfelds `Credential Access: Sensitive Role Granted To Hybrid Group` entspricht, wird das `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`-Logfeld dem `target.group.attribute.labels.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`-Logfeld dem `target.group.attribute.labels.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Wenn der Wert des `category`-Logfelds `Credential Access: Sensitive Role Granted To Hybrid Group` entspricht, wird das `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`-Logfeld dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`-Logfeld dem UDM-Feld `target.group.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.customRoleSensitivePermissions.permissions`-Logfeld dem `target.group.attribute.permissions.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Credential Access: External Member Added To Privileged Group` entspricht, wird das `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Credential Access: Sensitive Role Granted To Hybrid Group` entspricht, wird das `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.customRoleSensitivePermissions.roleName`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des `category`-Logfelds `Credential Access: External Member Added To Privileged Group` entspricht, wird das `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`-Logfeld dem `target.group.group_display_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`-Logfeld dem `target.group.group_display_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des `category`-Logfelds `Credential Access: Sensitive Role Granted To Hybrid Group` entspricht, wird das `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`-Logfeld dem `target.group.group_display_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das `sourceProperties.properties.ipConnection.destIp`-Logfeld dem UDM-Feld `target.ip` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (verworfen)	Wenn der Wert des `category`-Logfelds `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.properties.methodName`-Logfeld dem UDM-Feld `target.labels.value` zugeordnet.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Wenn der Wert des `category`-Logfelds `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.properties.methodName`-Logfeld dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.network.location`	`target.location.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.network.location`-Logfeld dem UDM-Feld `target.location.name` zugeordnet.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das `sourceProperties.properties.ipConnection.destPort`-Logfeld dem `target.port`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.query`-Logfeld dem `target.process.command_line`-UDM-Feld zugeordnet.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Das `containers.labels.name`-Logfeld wird dem UDM-Feld `target.resource_ancestors.attribute.labels.key` und das `containers.labels.value`-Logfeld dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.destVpc.projectId`-Logfeld dem `target.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.destVpc.subnetworkName`-Logfeld dem `target.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `sourceProperties.properties.network.subnetworkName`-Logfeld dem `target.resource_ancestors.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `sourceProperties.properties.network.subnetworkId`-Logfeld dem `target.resource_ancestors.value`-UDM-Feld zugeordnet.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`parent`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`containers.name`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Credential Access: External Member Added To Privileged Group` entspricht, wird das `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`-Logfeld dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `sourceProperties.properties.gceInstanceId`-Logfeld dem `target.resource_ancestors.product_object_id`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.zone`-Logfeld dem `target.resource.attribute.cloud.availability_zone`-UDM-Feld zugeordnet.
`canonicalName`	`metadata.product_log_id`	Der Wert für `finding_id` wird mit einem Grok-Muster aus dem `canonicalName`-Logfeld extrahiert. Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `src.resource.attribute.labels.key/value [finding_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `target.resource.attribute.labels.key/value [finding_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `target.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `target.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` entspricht, wird das `target.resource.attribute.labels.key`-UDM-Feld auf `exportScope` gesetzt und das `sourceProperties.properties.exportToGcs.exportScope`-Logfeld wird dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.destinations.objectName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.destinations.originalUri`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.metadataKeyOperation`-Logfeld dem `target.resource.attribute.labels.key/value`-UDM-Feld zugeordnet.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das `exfiltration.targets.components`-Logfeld dem `target.resource.attribute.labels.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` entspricht, wird das `sourceProperties.properties.exportToGcs.bucketAccess`-Logfeld dem `target.resource.attribute.permissions.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.name`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`resourceName`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`exfiltration.targets.name`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.`exfiltration.target.name`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.instanceId`-Logfeld dem `target.resource.product_object_id`-UDM-Feld zugeordnet.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.resource_subtype`-UDM-Feld zugeordnet. Andernfalls wird der Wert des `category`-Logfelds auf `Privileged Group` gesetzt. Andernfalls wird der Wert des `category`-Logfelds auf `BigQuery` gesetzt.`target.resource.resource_subtypetarget.resource.resource_subtypeCredential Access: External Member Added To Privileged GroupExfiltration: BigQuery Data Exfiltration`
	`target.resource.resource_type`	Wenn der Wert des `sourceProperties.properties.extractionAttempt.destinations.collectionType`-Logfelds mit dem regulären Ausdruck `BUCKET` übereinstimmt, wird das `target.resource.resource_type`-UDM-Feld auf `STORAGE_BUCKET` gesetzt. Andernfalls wird das `target.resource.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Andernfalls wird das `target.resource.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt, wenn der Wert des `category`-Logfelds `Malware: Bad Domain` oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist. Andernfalls wird das `target.resource.resource_type`-UDM-Feld auf `TABLE` gesetzt, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.jobLink`-Logfeld dem `target.url`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` ist, wird das `sourceProperties.properties.extractionAttempt.jobLink`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` entspricht, wird das `sourceProperties.properties.exportToGcs.gcsUri`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.requestUrl`	`target.url`	Wenn der Wert des `category`-Logfelds `Initial Access: Log4j Compromise Attempt` entspricht, wird das `sourceProperties.properties.requestUrl`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.policyLink`	`target.url`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.policyLink`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Wenn der Wert des `category`-Logfelds `Persistence: New Geography` entspricht, wird das `sourceProperties.properties.anomalousLocation.notSeenInLast`-Logfeld dem `target.user.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `sourceProperties.properties.attempts.username`-Logfeld dem `target.user.userid`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds `Initial Access: Suspicious Login Blocked` ist, wird das `userid`-Logfeld dem `target.user.userid`-UDM-Feld zugeordnet.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Wenn der Wert des `category`-Logfelds `Initial Access: Suspicious Login Blocked` entspricht, wird das `userid`-Logfeld dem `target.user.userid`-UDM-Feld zugeordnet.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (verworfen)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (verworfen)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Added Binary Executed` oder `Added Library Loaded` entspricht, wird das `sourceProperties.VM_Instance_Name`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das `sourceProperties.Backend_Service`-Logfeld dem `target.resource.name`-UDM-Feld und das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Wenn der Wert des `category`-Logfelds `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das `target.resource.resource_type`-UDM-Feld auf `BACKEND_SERVICE` gesetzt. Wenn der Wert des `category`-Logfelds `Configurable Bad Domain` ist, wird das `target.resource.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
	`is_alert`	Wenn der Wert des `state`-Logfelds `ACTIVE` ist und der Wert des `mute_is_not_present`-Felds nicht mit „wahr“ übereinstimmt und der Wert des `mute`-Logfelds `UNMUTED` oder `UNDEFINED` ist, wird das `is_alert`-UDM-Feld auf `true` gesetzt. Andernfalls wird das `is_alert`-UDM-Feld auf `false` gesetzt.`mute`
	`is_significant`	Wenn der Wert des `state`-Logfelds `ACTIVE` ist und der Wert des `mute_is_not_present`-Felds nicht mit „wahr“ übereinstimmt und der Wert des `mute`-Logfelds `UNMUTED` oder `UNDEFINED` ist, wird das `is_significant`-UDM-Feld auf `true` gesetzt. Andernfalls wird das `is_significant`-UDM-Feld auf `false` gesetzt.`mute`
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : `user_id` wird aus dem `sourceProperties.properties.sensitiveRoleGrant.principalEmail`-Logfeld extrahiert und dann dem UDM-Feld `principal.user.userid` zugeordnet.`user_id`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : `user_id` wird aus dem `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`-Logfeld extrahiert und dann dem UDM-Feld `principal.user.userid` zugeordnet.`user_id`
`resourceName`	`principal.asset.location.name`	Wenn der Wert des `parentDisplayName`-Logfelds mit `Virtual Machine Threat Detection` übereinstimmt, wird das `region`-Logfeld dem UDM-Feld `principal.asset.location.name` zugeordnet.`project_nameregionzone_suffixasset_prod_obj_idresourceName`
`resourceName`	`principal.asset.product_object_id`	Wenn der Wert des `parentDisplayName`-Logfelds `Virtual Machine Threat Detection` entspricht, wird das Logfeld `asset_prod_obj_id` dem UDM-Feld `principal.asset.product_object_id` zugeordnet.`project_nameregionzone_suffixasset_prod_obj_idresourceName`
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Wenn der Wert des `parentDisplayName`-Logfelds `Virtual Machine Threat Detection` entspricht, wird das `zone_suffix`-Logfeld dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.`project_nameregionzone_suffixasset_prod_obj_idresourceName`
`resourceName`	`principal.asset.attribute.labels[project_name]`	Wenn der Wert des `parentDisplayName`-Logfelds `Virtual Machine Threat Detection` entspricht, wird das `project_name`-Logfeld dem UDM-Feld `principal.asset.attribute.labels.value` zugeordnet.`project_nameregionzone_suffixasset_prod_obj_idresourceName`
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.methodName`-Logfeld dem `target.labels`-UDM-Feld zugeordnet.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.methodName`-Logfeld dem `additional.fields`-UDM-Feld zugeordnet.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.serviceName`-Logfeld dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.serviceName`-Logfeld dem `additional.fields`-UDM-Feld zugeordnet.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.attemptTimes`-Logfeld dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.attemptTimes`-Logfeld dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.lastOccurredTime`-Logfeld dem `target.labels`-UDM-Feld zugeordnet.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.lastOccurredTime`-Logfeld dem UDM-Feld `additional.fields` zugeordnet.
`resource.resourcePathString`	`src.resource.attribute.labels[resource_path_string]`	Wenn der Wert des `category`-Logfelds einen der folgenden Werte enthält, wird das `resource.resourcePathString`-Logfeld dem `src.resource.attribute.labels[resource_path_string]`-UDM-Feld zugeordnet. `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization` Andernfalls wird das Protokollfeld `resource.resourcePathString` dem UDM-Feld `target.resource.attribute.labels[resource_path_string]` zugeordnet.

Feldzuordnungsreferenz: Ereignis-ID zu Ereignistyp

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Die folgenden Tabellen enthalten eine Zuordnung von UDM-Ereignistypen und UDM-Feldern für Security Command Center – VULNERABILITY-, MISCONFIGURATION-, OBSERVATION-, ERROR-, UNSPECIFIED- und POSTURE_VIOLATION-Suchergebnisse.

Kategorie „VULNERABILITY“ zu UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „VULNERABILITY“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Kategorie „FEHLERBERICHTIGUNG“ für UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „FEHLERBERICHTIGUNG“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
Offener SMTP-Port	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

OBSERVATION-Kategorie in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „BEOBACHTUNG“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
Persistenz: SSH-Schlüssel für Projekt hinzugefügt	SETTING_MODIFICATION
Persistenz: Sensible Rolle hinzufügen	RESOURCE_PERMISSIONS_CHANGE
Auswirkung: GPU-Instanz erstellt	USER_RESOURCE_CREATION
Auswirkung: Viele Instanzen werden erstellt	USER_RESOURCE_CREATION

ERROR-Kategorie in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „Fehler“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

UNSPECIFIED-Kategorie zu UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „UNBESCHRIEBEN“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Kategorie „POSTURE_VIOLATION“ in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „POSTURE_VIOLATION“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referenz für die Feldzuordnung: SCHWACHSTELLE

In der folgenden Tabelle sind die Protokollfelder der Kategorie „VULNERABILITY“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
Kategorie	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` wurde mit einem Grok-Muster aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.location.name` zugeordnet.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` wurde mit einem Grok-Muster aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.product_object_id` zugeordnet.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` wurde mit einem Grok-Muster aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referenz zur Feldzuordnung: MISCONFIGURATION

In der folgenden Tabelle sind die Protokollfelder der Kategorie „FEHLERBEHANDLUNG“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referenz für die Feldzuordnung: BEACHTEN

In der folgenden Tabelle sind die Protokollfelder der Kategorie „OBSERVATION“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referenz für Feldzuordnung: FEHLER

In der folgenden Tabelle sind die Protokollfelder der Kategorie „Fehler“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz für die Feldzuordnung: UNSPECIFIED

In der folgenden Tabelle sind die Protokollfelder der Kategorie „UNBESCHRIEBEN“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz für die Feldzuordnung: POSTURE_VIOLATION

In der folgenden Tabelle sind die Protokollfelder der Kategorie „POSTURE_VIOLATION“ und die zugehörigen UDM-Felder aufgeführt.

Logfeld	UDM-Zuordnung	Logik
`finding.resourceName`	`target.resource_ancestors.name`	Wenn der Wert des `finding.resourceName`-Logfelds nicht leer ist, wird das `finding.resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Das Feld `project_name` wird mithilfe des Grok-Musters aus dem `finding.resourceName`-Logfeld extrahiert. Wenn der Wert des Felds `project_name` nicht leer ist, wird das Feld `project_name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des `resourceName`-Logfelds nicht leer ist, wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Das Feld `project_name` wird mithilfe des Grok-Musters aus dem `resourceName`-Logfeld extrahiert. Wenn der Wert des `project_name`-Felds nicht leer ist, wird das `project_name`-Feld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des `finding.cloudProvider`-Logfelds einen der folgenden Werte enthält, wird das `finding.cloudProvider`-Logfeld dem UDM-Feld `about.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des `cloudProvider`-Logfelds einen der folgenden Werte enthält, wird das `cloudProvider`-Logfeld dem `about.resource.attribute.cloud.environment`-UDM-Feld zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Wenn der Wert des `resource.cloudProvider`-Logfelds einen der folgenden Werte enthält, wird das `resource.cloudProvider`-Logfeld dem UDM-Feld `target.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Gängige Felder: SECURITY COMMAND CENTER – VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

In der folgenden Tabelle sind häufig verwendete Felder der Kategorien VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION und TOXIC_COMBINATION aus dem SECURITY COMMAND CENTER und die entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Wert des `connections.destinationIp`-Logfelds nicht mit dem `sourceProperties.properties.ipConnection.destIp` übereinstimmt, wird das `connections.destinationIp`-Logfeld dem `about.labels.value`-UDM-Feld zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Wert des `connections.destinationIp`-Logfelds nicht mit dem `sourceProperties.properties.ipConnection.destIp` übereinstimmt, wird das `connections.destinationIp`-Logfeld dem `additional.fields.value`-UDM-Feld zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Das UDM-Feld `target.resource_ancestors.resource_type` ist auf `CLUSTER` gesetzt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des `canonicalName`-Logfelds nicht leer ist, wird der `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert. Wenn der Wert des `finding_id`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet. Wenn der Wert des `canonicalName`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das `sourceProperties.sourceId.customerOrganizationNumber`-Logfeld dem UDM-Feld `principal.resource.attribute.labels.value` zugeordnet.
`resource.projectName`	`principal.resource.name`
`resource.gcpMetadata.project`	`principal.resource.name`
	`principal.user.account_type`	Wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das `principal.user.account_type`-UDM-Feld auf `SERVICE_ACCOUNT_TYPE` festgelegt. Andernfalls, wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `user` übereinstimmt, wird das `principal.user.account_type`-UDM-Feld auf `CLOUD_ACCOUNT_TYPE` festgelegt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `access.principalEmail`-Logfelds nicht leer ist und mit dem regulären Ausdruck `^.+@.+$` übereinstimmt, wird das `access.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.`access.principalEmail`
`access.principalEmail`	`principal.user.userid`	Wenn der Wert des `access.principalEmail`-Logfelds nicht leer ist und nicht mit dem regulären Ausdruck `^.+@.+$` übereinstimmt, wird das `access.principalEmail`-Logfeld dem `principal.user.userid`-UDM-Feld zugeordnet.`access.principalEmail`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das `security_result.about.user.attribute.roles.name`-UDM-Feld auf `security` festgelegt. Wenn der Wert des `message`-Logfelds mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das `security_result.about.user.attribute.roles.name`-UDM-Feld auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Wenn der Wert des `state`-Logfelds `ACTIVE` entspricht, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Andernfalls wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass, category`	`security_result.catgory_details`	Das `findingClass - category`-Logfeld wird dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des `mute`-Logfelds `MUTED` oder `UNMUTED` ist, wird das `muteInitiator`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des `mute`-Logfelds `MUTED` oder `UNMUTED` ist, wird das `muteUpdateTimer`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` oder `Persistence: IAM Anomalous Grant` ist, wird das `security_result.detection_fields.key`-UDM-Feld auf `sourceProperties_contextUris_relatedFindingUri_url` gesetzt und das `sourceProperties.contextUris.relatedFindingUri.url`-Logfeld wird dem `metadata.url_back_to_product`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName`-Logfeld dem `security_result.detection_fields.key`-UDM-Feld und das `sourceProperties.contextUris.virustotalIndicatorQueryUri.url`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.contextUris.workspacesUri.displayName`-Logfeld dem `security_result.detection_fields.key`-UDM-Feld und das `sourceProperties.contextUris.workspacesUri.url`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `HIGH` entspricht, wird das `security_result.priority`-UDM-Feld auf `HIGH_PRIORITY` gesetzt. Andernfalls wird das `security_result.priority`-UDM-Feld auf `MEDIUM_PRIORITY` gesetzt, wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `MEDIUM` entspricht. Andernfalls wird das `security_result.priority`-UDM-Feld auf `LOW_PRIORITY` gesetzt, wenn der Wert des `sourceProperties.detectionPriority`-Logfelds `LOW` entspricht.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.query`-Logfeld dem `src.process.command_line`-UDM-Feld zugeordnet. Andernfalls wird das `database.query`-Logfeld dem `target.process.command_line`-UDM-Feld zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.folders.resourceFolderDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.folders.resourceFolderDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.gcpMetadata.folders.resourceFolderDisplay`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.folders.resourceFolderDisplay`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.folders.resourceFolderDisplay`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.gcpMetadata.folders.resourceFolder`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.folders.resourceFolder`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.folders.resourceFolder`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`resource.organization`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.organization`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `resource.organization`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`resource.gcpMetadata.organization`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.organization`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.organization`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.parentDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.parentDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.gcpMetadata.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.parentDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.parentDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.parentName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.parentName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.gcpMetadata.parent`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.parent`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.parent`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.projectDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.projectDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.gcpMetadata.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.gcpMetadata.projectDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.gcpMetadata.projectDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.type`-Logfeld dem `src.resource_ancestors.resource_subtype`-UDM-Feld zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `src.resource.attribute.labels.key`-UDM-Feld auf `grantees` gesetzt und das `database.grantees`-Logfeld wird dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.displayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.display_name`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.display_name`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.type`-Logfeld dem `src.resource_ancestors.resource_subtype`-UDM-Feld zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.displayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.display_name`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.display_name`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das `exfiltration.sources.components`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `resourceName`-Logfeld dem UDM-Feld `src.resource.name` zugeordnet.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das `access.serviceName`-Logfeld dem UDM-Feld `target.application` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.zone`-Logfeld dem `target.resource.attribute.cloud.availability_zone`-UDM-Feld zugeordnet.
`canonicalName`	`metadata.product_log_id`	Der Wert für `finding_id` wird mit einem Grok-Muster aus dem `canonicalName`-Logfeld extrahiert. Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `src.resource.attribute.labels.key/value [finding_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds einem der folgenden Werte entspricht, wird `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des `finding_id`-Logfelds nicht leer ist, wird das `finding_id`-Logfeld dem `target.resource.attribute.labels.key/value [finding_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `target.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `target.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das `exfiltration.targets.components`-Logfeld dem `target.resource.attribute.labels.key/value`-UDM-Feld zugeordnet.
`resourceName exfiltration.targets.name`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `exfiltration.target.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist, wird das `exfiltration.target.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Wenn der Wert des `sourceProperties.Header_Signature.name`-Logfelds mit `RegionCode` übereinstimmt, wird das `sourceProperties.Header_Signature.significantValues.value`-Logfeld dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Wenn der Wert des `sourceProperties.Header_Signature.name`-Logfelds `RemoteHost` entspricht, wird das `sourceProperties.Header_Signature.significantValues.value`-Logfeld dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Wenn der Wert des `sourceProperties.Header_Signature.name`-Logfelds `UserAgent` entspricht, wird das `sourceProperties.Header_Signature.significantValues.value`-Logfeld dem UDM-Feld `network.http.user_agent` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Wenn der Wert des `sourceProperties.Header_Signature.name`-Logfelds mit `RequestUriPath` übereinstimmt, wird das `sourceProperties.Header_Signature.significantValues.value`-Logfeld dem UDM-Feld `principal.url` zugeordnet.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Wenn der Wert des `category`-Logfelds `account_has_leaked_credentials` entspricht, wird das `sourceProperties.compromised_account`-Logfeld dem UDM-Feld `principal.user.userid` zugeordnet und das UDM-Feld `principal.user.account_type` wird auf `SERVICE_ACCOUNT_TYPE` gesetzt.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.project_identifier`-Logfeld dem UDM-Feld `principal.resource.product_object_id` zugeordnet.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.private_key_identifier`-Logfeld dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (verworfen)	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.action_taken`-Logfeld dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.action_taken`-Logfeld dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (verworfen)	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.finding_type`-Logfeld dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.finding_type`-Logfeld dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.url`-Logfeld dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.security_result.summary`	`security_result.summary`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.security_result.summary`-Logfeld dem UDM-Feld `security_result.summary` zugeordnet.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Nächste Schritte

Datenaufnahme in Google Security Operations

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten