Cette page a été traduite par l'API Cloud Translation.

Collecter les résultats de Security Command Center

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux de Security Command Center en configurant Security Command Center et en insérant les résultats dans Google Security Operations. Ce document liste également les événements compatibles.

Pour en savoir plus, consultez les pages Ingestion de données dans Google Security Operations et Exporter les résultats de Security Command Center vers Google Security Operations. Un déploiement type comprend Security Command Center et le flux Google Security Operations configuré pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants :

Google Cloud : système à surveiller dans lequel Security Command Center est installé.
Résultats de la détection des menaces liées aux événements dans Security Command Center : collecte des informations à partir de la source de données et génère des résultats.
Google Security Operations : conserve et analyse les journaux de Security Command Center.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur Security Command Center avec les libellés d'ingestion suivants :

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configurer Security Command Center et Google Cloud pour envoyer les résultats à Google Security Operations

Activez Security Command Center.
Assurez-vous que tous les systèmes du déploiement sont configurés dans le fuseau horaire UTC.
Activez l'ingestion des résultats de Security Command Center.

Résultats compatibles avec Event Threat Detection

Cette section liste les résultats Event Threat Detection pris en charge. Pour en savoir plus sur les règles et les résultats d'Event Threat Detection de Security Command Center, consultez la page Règles Event Threat Detection.

Nom du résultat	Description
Analyse active : Log4j vulnérable à RCE	Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Attaques par force brute SSH	Détection d'une attaque par force brute SSH réussie sur un hôte
Accès aux identifiants : membre externe ajouté au groupe privilégié	Détecte l'ajout d'un membre externe à un groupe Google privilégié (un groupe disposant de rôles ou d'autorisations sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.
Accès aux identifiants : groupe privilégié ouvert au public	Détecte les modifications apportées à un groupe Google privilégié (un groupe doté de rôles ou d'autorisations sensibles) pour le rendre accessible au grand public. Pour en savoir plus, consultez Modifications non sécurisées liées aux groupes Google.
Accès aux identifiants : rôle sensible attribué au groupe hybride	Détecte quand des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez Modifications non sécurisées liées aux groupes Google.
Defense Evasion : Modifier VPC Service Controls	Détecte toute modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection offerte par ce périmètre.
Découverte : Vérification des objets Kubernetes sensiblesPreview	Un individu malveillant a tenté de déterminer les objets sensibles dans Google Kubernetes Engine (GKE) qu'il pouvait interroger à l'aide de la commande "kubectl auth can-i get".
Découverte : Auto-enquête sur le compte de service	Détection des identifiants d'un compte de service IAM (Identity and Access Management) utilisés pour examiner les rôles et les autorisations associés à ce même compte de service.
Fuite : accès depuis le proxy d'anonymisation	Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery	Détecte les cas suivants : Ressources appartenant à l'organisation protégée et enregistrées en dehors de l'organisation, y compris les opérations de copie et de transfert. Tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.
Exfiltration : extraction de données BigQuery	Détecte les scénarios suivants: Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation. Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, par le biais d'opérations d'extraction, dans un bucket Cloud Storage publiquement accessible appartenant à cette organisation.
Exfiltration : données BigQuery vers Google Drive	Détecte les cas suivants : Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration : exfiltration de données Cloud SQL	Détecte les scénarios suivants: Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation. Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Détecte le moment où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance à l'extérieur de l'organisation.
exfiltration: attribution de privilèges excessifs Cloud SQL SQL	Détecte lorsqu'un utilisateur ou un rôle Cloud SQL Postgres s'est vu attribué tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Défenses diminuées : authentification forte - désactivé	La validation en deux étapes a été désactivée pour l'organisation.
Défenses diminuées : Vérification en deux étapes - désactivé	Un utilisateur a désactivé la validation en deux étapes.
Accès initial : piratage - compte désactivé	Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.
Accès initial : fuite de mot de passe - désactivé	Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.
Accès initial: Attaque de personnes malveillantes soutenues par un gouvernement	Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Accès initial : tentative de compromis Log4j	Détecte les recherches JNDI (Java Naming and Directory Interface) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats sont de faible gravité, car ils n’indiquent qu’une tentative de détection ou d’exploitation, et non une vulnérabilité ou un compromis.
Accès initial : connexion suspecte - bloqué	Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.
Logiciel malveillant Log4j : domaine incorrect	Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte	Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine malveillant	Détection des logiciels malveillants en fonction d'une connexion à un domaine malveillant connu ou d'une recherche dans ce domaine.
Logiciel malveillant : adresse IP malveillante	Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie	Détection du minage de cryptomonnaies basée sur une connexion à un domaine de minage de cryptomonnaie connu ou sur une recherche dans ce domaine.
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie	Détection du minage de cryptomonnaie à partir d'une connexion à une adresse IP de minage connue.
DoS sortant	Détection du trafic de déni de service sortant
Persistance : ajout d'une clé SSH par l'administrateur Compute Engine	Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : ajout d'un script de démarrage par l'administrateur Compute Engine	Détection d'une modification de la valeur du script de démarrage des métadonnées d'instance Compute Engine sur une instance établie (depuis plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM	Détection des privilèges accordés aux utilisateurs et aux comptes de service IAM qui ne sont pas membres de l'organisation. Ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat.
Persistance : Nouvelle méthode d'API	Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie	Détection des comptes utilisateur et de service IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP à l'origine des requêtes.
Persistance : Nouvel agent utilisateur	Détection des comptes de service IAM qui accèdent à Google Cloud depuis des user-agents anormaux ou suspects.
Persistance: activer/désactiver l'authentification unique	Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.
Persistance: paramètres SSO modifiés	Les paramètres SSO du compte administrateur ont été modifiés.
Élévation des privilèges: modifications apportées aux objets Kubernetes RBAC sensibles – Aperçu	Pour effectuer une élévation de droits, un individu malveillant a tenté de modifier les objets ClusterRole et ClusterRoleBinding cluster-admin à l'aide d'une requête PUT ou PATCH.
Élévation des privilèges: création d'une requête de signature de certificat Kubernetes pour le certificat principal	Un individu potentiellement malveillant a créé une requête de signature de certificat (CSR) principal Kubernetes, ce qui lui donne un accès cluster-admin.
Élévation des privilèges : création de liaisons Kubernetes sensiblesPreview	Un individu malveillant a tenté de créer des objets RoleBinding ou ClusterRoleBinding cluster-admin afin d'élever ses privilèges.
Élévation des privilèges: obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromisPreview	Un individu malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges: lancement de l'aperçu des conteneurs Kubernetes privilégiés	Un individu malveillant a créé des pods contenant des conteneurs privilégiés ou dotés de capacités d'élévation des privilèges. Le champ "privileged" d'un conteneur privilégié est défini sur "true". Le champ "allowPrivilegeEscalation" d'un conteneur doté de capacités d'élévation des droits est défini sur "true".
Accès initial : clé de compte de service inactif créée	Détecte les événements où une clé est créée pour un compte de service géré par l'utilisateur dormant. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.
Arborescence de processus	Le détecteur vérifie l'arborescence de tous les processus en cours d'exécution. Si un processus est un binaire de shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat.
Shell enfant inattendu	Le détecteur vérifie l'arborescence de tous les processus en cours d'exécution. Si un processus est un binaire de shell, le détecteur vérifie son processus parent. Si le processus parent est un binaire qui ne doit pas générer de processus shell, le détecteur déclenche un résultat.
Exécution: exécution du binaire malveillant ajouté	Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution: exécution d'un binaire malveillant modifié	Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image du conteneur, mais qui a été modifié au moment de l'exécution et a été identifié comme malveillant sur la base de la CTI.
Escalade des droits : délégation de compte de service multi-étapes anormale pour les activités d'administration	Détecte les cas où une requête déléguée en plusieurs étapes anormale est détectée pour une activité d'administration.
Compte "bris de glace" utilisé : break_glass_account	Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace)
Domaine incorrect configurable : APT29_Domains	Détecte une connexion à un nom de domaine spécifié
Attribution de rôle inattendue: rôles interdits	Détecte quand un rôle spécifié est attribué à un utilisateur
Adresse IP incorrecte configurable	Détecte une connexion à une adresse IP spécifiée
Type d'instance Compute Engine inattendu	Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration d'instance ou au type que vous avez spécifié.
Image source Compute Engine inattendue	Détecte la création d'une instance Compute Engine qui repose sur une image ou une famille d'images ne faisant pas partie d'une liste spécifiée
Région Compute Engine inattendue	Détecte la création d'une instance Compute Engine dans une région ne figurant pas dans une liste spécifiée.
Rôle personnalisé avec autorisation interdite	Détecte les cas où un rôle personnalisé disposant de l'une des autorisations IAM spécifiées est accordé à un compte principal.
Appel d'API Cloud inattendu	Détecte les cas où un compte principal spécifié appelle une méthode spécifiée pour une ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières correspondent dans une seule entrée de journal.

Résultats GCP_SECURITYCENTER_ERROR compatibles

Vous trouverez le mappage UDM dans le tableau Field mapping reference: ERROR (Référence sur le mappage des champs : ERROR).

Nom du résultat	Description
VPC_SC_RESTRICTION	L'analyse de l'état de la sécurité ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer les résultats à Logging.
API_DISABLED	Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center.
KTD_IMAGE_PULL_FAILURE	Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) depuis gcr.io, l'hôte d'images de Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Vous ne pouvez pas activer Container Threat Detection sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet DaemonSet Kubernetes requis par Container Threat Detection. Dans la console Google Cloud, les détails de la recherche incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet Container Threat Detection.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche l'activation réussie de Container Threat Detection sur le cluster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit.

Résultats GCP_SECURITYCENTER_OBSERVATION compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : OBSERVATION.

Nom du résultat	Description
Persistance : clé SSH du projet ajoutée	Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours.
Persistance: ajouter un rôle sensible	Un rôle IAM sensible ou hautement privilégié a été attribué au niveau de l'organisation dans une organisation datant de plus de 10 jours.

Résultats GCP_SECURITYCENTER_UNSPECIFIED compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : UNSPECIFIED.

Nom du résultat	Description
OPEN_FIREWALL	Un pare-feu est configuré pour être ouvert à l'accès public.

Résultats GCP_SECURITYCENTER_VULNERABILITY compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : VULNERABILITY.

Nom du résultat	Description
DISK_CSEK_DISABLED	Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Détecteur de cas spéciaux.
ALPHA_CLUSTER_ENABLED	Les fonctionnalités de cluster alpha sont activées pour un cluster GKE.
AUTO_REPAIR_DISABLED	La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée.
AUTO_UPGRADE_DISABLED	La fonctionnalité de mise à niveau automatique des clusters GKE, qui permet de conserver les clusters et les pools de nœuds exécutant la dernière version stable de Kubernetes, est désactivée.
CLUSTER_SHIELDED_NODES_DISABLED	Les nœuds GKE protégés ne sont pas activés pour un cluster
COS_NOT_USED	Les VM Compute Engine n'utilisent pas le système d'exploitation Container-Optimized OS conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.
INTEGRITY_MONITORING_DISABLED	La surveillance de l'intégrité est désactivée pour un cluster GKE.
IP_ALIAS_DISABLED	Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.
LEGACY_METADATA_ENABLED	Les anciennes métadonnées sont activées sur les clusters GKE.
RELEASE_CHANNEL_DISABLED	Un cluster GKE n'est pas abonné à une version disponible.
DATAPROC_IMAGE_OUTDATED	Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par des failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228 et CVE-2021-45046).
PUBLIC_DATASET	Un ensemble de données est configuré pour être ouvert au public.
DNSSEC_DISABLED	DNSSEC est désactivé pour les zones Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.
KMS_PUBLIC_KEY	Une clé cryptographique Cloud KMS est accessible au public.
SQL_CONTAINED_DATABASE_AUTHENTICATION	L'option de base de données "contained database authentication" (authentification de la base de données autonome) d'une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée).
SQL_CROSS_DB_OWNERSHIP_CHAINING	L'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_EXTERNAL_SCRIPTS_ENABLED	L'indicateur de base de données "external scripts enabled" (scripts externes activés) d'une instance Cloud SQL pour SQL Server n'est pas défini sur "off" (désactivé).
SQL_LOCAL_INFILE	L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée.
SQL_LOG_ERROR_VERBOSITY	L'option de base de données "log_error_verbosity" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "default" ou un niveau plus strict.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	L'option de base de données log_min_duration_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1".
SQL_LOG_MIN_ERROR_STATEMENT	L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie correctement.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.
SQL_LOG_MIN_MESSAGES	L'option de base de données log_min_messages d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "warning".
SQL_LOG_EXECUTOR_STATS_ENABLED	L'option de base de données "log_executor_status" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_HOSTNAME_ENABLED	L'indicateur de base de données "log_hostname" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivé.
SQL_LOG_PARSER_STATS_ENABLED	L'option de base de données "log_parser_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_PLANNER_STATS_ENABLED	L'option de base de données "log_planner_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_STATEMENT_STATS_ENABLED	L'option de base de données "log_statement_stats" d'une instance Cloud SQL pour PostgreSQL n'est pas désactivée.
SQL_LOG_TEMP_FILES	L'option de base de données "log_temp_files" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".
SQL_REMOTE_ACCESS_ENABLED	L'option de base de données d'accès à distance pour une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_SKIP_SHOW_DATABASE_DISABLED	L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée.
SQL_TRACE_FLAG_3625	L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas activée.
SQL_USER_CONNECTIONS_CONFIGURED	L'option de base de données "user connections" (connexions utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_USER_OPTIONS_CONFIGURED	L'option de base de données "user options" (options utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_WEAK_ROOT_PASSWORD	Une base de données Cloud SQL possède un mot de passe peu sécurisé configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver les détecteurs.
PUBLIC_LOG_BUCKET	Un bucket de stockage utilisé comme récepteur de journaux est accessible au public.
ACCESSIBLE_GIT_REPOSITORY	Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.
ACCESSIBLE_SVN_REPOSITORY	Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public non intentionnel au dépôt SVN.
CACHEABLE_PASSWORD_INPUT	Les mots de passe saisis dans l'application Web peuvent être mis en cache dans le cache standard du navigateur plutôt que dans un espace de stockage sécurisé.
CLEAR_TEXT_PASSWORD	Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur de l'en-tête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête "Origine" avant de le refléter dans l'en-tête de réponse "Access-Control-Allow-Origin". Pour résoudre ce problème, vérifiez que le domaine attendu correspond parfaitement à la valeur de l'en-tête "Origin" (Origine) avant de la refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals("".google.com"").
INVALID_CONTENT_TYPE	Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.
INVALID_HEADER	Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce résultat, définissez correctement les en-têtes de sécurité HTTP.
MISMATCHING_SECURITY_HEADER_VALUES	Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.
MISSPELLED_SECURITY_HEADER_NAME	Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce résultat, définissez correctement les en-têtes de sécurité HTTP.
MIXED_CONTENT	Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.
OUTDATED_LIBRARY	Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.
SERVER_SIDE_REQUEST_FORGERY	Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.
SESSION_ID_LEAK	Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans l'en-tête de requête de l'URL de provenance. Cette faille permet au domaine destinataire d'accéder à l'identifiant de session, qui peut être utilisé pour emprunter l'identité de l'utilisateur ou l'identifier de manière unique.
SQL_INJECTION	Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce problème, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'influencer la structure de la requête SQL.
STRUTS_INSECURE_DESERIALIZATION	L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.
XSS	Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce résultat, validez et échappez les données non fiables fournies par l'utilisateur.
XSS_ANGULAR_CALLBACK	Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.
XSS_ERROR	Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce résultat, validez et échappez les données non fiables fournies par l'utilisateur.
XXE_REFLECTED_FILE_LEAKAGE	Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour résoudre ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.
BASIC_AUTHENTICATION_ENABLED	Vous devez activer l'authentification via le certificat client ou IAM sur les clusters Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Vous devez activer l'option "Certificat client" lors de la création des clusters Kubernetes.
LABELS_NOT_USED	Des libellés peuvent être utilisés pour répartir les informations de facturation.
PUBLIC_STORAGE_OBJECT	La LCA de stockage d'objet ne doit pas accorder l'accès à "allUsers".
SQL_BROAD_ROOT_LOGIN	L'accès root à une base de données SQL doit être limité aux adresses IP approuvées répertoriées
WEAK_CREDENTIALS	Ce détecteur vérifie les identifiants faibles à l’aide de méthodes de ncrack par force brute. Services compatibles : SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	L'API Elasticsearch permet aux appelants d'effectuer des requêtes arbitraires, d'écrire et d'exécuter des scripts et d'ajouter des documents supplémentaires au service.
EXPOSED_GRAFANA_ENDPOINT	Dans Grafana 8.0.0 à 8.3.0, les utilisateurs peuvent accéder sans authentification à un point de terminaison présentant une faille de traversée de répertoires qui permet à n'importe quel utilisateur de lire n'importe quel fichier sur le serveur sans authentification. Pour en savoir plus, consultez CVE-2021-43798.
EXPOSED_METABASE	Les versions x.40.0 à x.40.4 de Metabase, une plate-forme d'analyse de données Open Source, contiennent une faille dans la prise en charge des cartes GeoJSON personnalisées et une inclusion potentielle de fichiers locaux, y compris de variables d'environnement. Les URL n'ont pas été validées avant d'être chargées. Pour en savoir plus, consultez CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Ce détecteur vérifie si les points de terminaison d'actionneur sensibles des applications Spring Boot sont exposés. Certains points de terminaison par défaut, tels que /heapdump, peuvent exposer des informations sensibles. D'autres points de terminaison, tels que /env, peuvent permettre l'exécution de code à distance. Actuellement, seule l'option /heapdump est cochée.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Ce détecteur vérifie si l'API Hadoop Yarn ResourceManager, qui contrôle les ressources de calcul et de stockage d'un cluster Hadoop, est exposée et permet l'exécution de code non authentifié.
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) permet une surveillance et des diagnostics à distance pour les applications Java. L'exécution de JMX avec un point de terminaison d'appel de méthode à distance non protégé permet à tout utilisateur distant de créer un MBean javax.management.loading.MLet et de l'utiliser pour créer de nouveaux MBean à partir d'URL arbitraires.
JUPYTER_NOTEBOOK_EXPOSED_UI	Ce détecteur vérifie si un notebook Jupyter non authentifié est exposé. Jupyter permet l'exécution de code à distance à des fins de développement sur la machine hôte. Un notebook Jupyter non authentifié présente un risque d'exécution de code à distance.
KUBERNETES_API_EXPOSED	L'API Kubernetes est exposée et est accessible aux appelants non authentifiés. Cela permet l'exécution de code arbitraire sur le cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Ce détecteur vérifie si une installation WordPress est inachevée. Une installation WordPress inachevée expose la page /wp-admin/install.php, ce qui permet au pirate informatique de définir le mot de passe administrateur et, éventuellement, de compromettre le système.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Ce détecteur recherche une instance Jenkins non authentifiée en envoyant un ping de vérification au point de terminaison /view/all/newJob en tant que visiteur anonyme. Une instance Jenkins authentifiée affiche le formulaire createItem, qui permet de créer des tâches arbitraires pouvant entraîner l'exécution de code à distance.
APACHE_HTTPD_RCE	Une faille a été détectée dans le serveur HTTP Apache 2.4.49 qui permet à un attaquant d'utiliser une attaque par traversée de répertoire pour mapper les URL à des fichiers situés en dehors de la racine du document attendue et voir la source des fichiers interprétés, comme les scripts CGI. Ce problème est connu pour être exploité dans le monde réel. Ce problème affecte Apache 2.4.49 et 2.4.50, mais pas les versions antérieures. Pour en savoir plus sur cette faille, consultez les pages suivantes: Enregistrement CVE CVE-2021-41773 Failles dans Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Les pirates informatiques peuvent créer un URI vers le serveur Web Apache qui entraîne la transmission de la requête par mod_proxy à un serveur d'origine choisi par le pirate informatique. Ce problème affecte le serveur HTTP Apache 2.4.48 et les versions antérieures. Pour en savoir plus sur cette faille, consultez les ressources suivantes : Enregistrement CVE CVE-2021-40438 Failles dans Apache HTTP Server 2.4
CONSUL_RCE	Les pirates informatiques peuvent exécuter du code arbitraire sur un serveur Consul, car l'instance Consul est configurée avec "-enable-script-checks" défini sur "true", et l'API HTTP Consul n'est pas sécurisée et est accessible sur le réseau. Dans Consul 0.9.0 et les versions antérieures, les vérifications des scripts sont activées par défaut. Pour en savoir plus, consultez Protéger Consul contre les risques de RCE dans des configurations spécifiques. Pour détecter cette faille, la détection rapide des failles enregistre un service sur l'instance Consul à l'aide du point de terminaison REST /v1/health/service, qui exécute ensuite l'une des actions suivantes : * Une commande curl vers un serveur distant en dehors du réseau. Un pirate informatique peut utiliser la commande curl pour exfiltrer des données du serveur. * Une commande printf. La détection rapide des failles vérifie ensuite la sortie de la commande à l'aide du point de terminaison REST /v1/health/service. * Après la vérification, Rapid Vulnerability Detection nettoie et annule l'enregistrement du service à l'aide du point de terminaison REST /v1/agent/service/deregister/.
DRUID_RCE	Apache Druid permet d'exécuter du code JavaScript fourni par l'utilisateur et intégré dans divers types de requêtes. Cette fonctionnalité est destinée à être utilisée dans des environnements à haut niveau de confiance et est désactivée par défaut. Toutefois, dans Druid 0.20.0 et les versions antérieures, un utilisateur authentifié peut envoyer une requête spécialement conçue pour forcer Druid à exécuter le code JavaScript fourni par l'utilisateur pour cette requête, quelle que soit la configuration du serveur. Cela permet d'exécuter du code sur la machine cible avec les privilèges du processus du serveur Druid. Pour en savoir plus, consultez la page Détails de la CVE-2021-25646.
DRUPAL_RCE	Les versions de Drupal antérieures à 7.58, 8.x antérieures à 8.3.9, 8.4.x antérieures à 8.4.6 et 8.5.x antérieures à 8.5.1 sont vulnérables à l'exécution de code à distance sur les requêtes AJAX de l'API Form. Les versions 8.5.x de Drupal (antérieures à 8.5.11) et 8.6.x (avant 8.6.10) sont vulnérables à l'exécution de code à distance lorsque le module RESTful Web Service ou JSON:API est activé. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'une requête POST personnalisée.
FLINK_FILE_DISCLOSURE	Une faille dans les versions 1.11.0, 1.11.1 et 1.11.2 d'Apache Flink permet aux pirates informatiques de lire n'importe quel fichier dans le système de fichiers local du JobManager via l'interface REST du processus JobManager. L'accès est limité aux fichiers accessibles par le processus JobManager.
GITLAB_RCE	Dans les versions 11.9 et ultérieures de GitLab Community Edition (CE) et Enterprise Edition (EE), GitLab ne valide pas correctement les fichiers image transmis à un analyseur de fichiers. Un pirate informatique peut exploiter cette faille pour exécuter des commandes à distance.
GoCD_RCE	Dans GoCD 21.2.0 et versions antérieures, il existe un point de terminaison accessible sans authentification. Ce point de terminaison présente une faille de traversée de répertoire qui permet à un utilisateur de lire n’importe quel fichier sur le serveur sans authentification.
JENKINS_RCE	Les versions 2.56 et antérieures de Jenkins et 2.46.1 LTS et antérieures sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique non authentifié qui utilise un objet Java sérialisé malveillant.
JOOMLA_RCE	Les versions 1.5.x, 2.x et 3.x de Joomla antérieures à la version 3.4.6 sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un en-tête personnalisé contenant des objets PHP sérialisés. Les versions 3.0.0 à 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par l'envoi d'une requête POST contenant un objet PHP sérialisé spécialement conçu.
LOG4J_RCE	Dans Apache Log4j2 2.14.1 et versions antérieures, les fonctionnalités JNDI utilisées dans les configurations, les messages de journal et les paramètres ne protègent pas contre le LDAP contrôlé par le pirate informatique et les autres points de terminaison associés à JNDI. Pour en savoir plus, consultez CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT jusqu'à la version 2.3.0 permet la réinitialisation arbitraire du mot de passe et l'accès administrateur non authentifié en fournissant une valeur confirm_hash vide à verify.php.
OGNL_RCE	Les instances de Confluence Server et Data Center contiennent une faille d'injection OGNL qui permet à un pirate informatique non authentifié d'exécuter du code arbitraire. Pour en savoir plus, consultez CVE-2021-26084.
OPENAM_RCE	Le serveur OpenAM 14.6.2 et les versions antérieures, ainsi que le serveur ForgeRock AM 6.5.3 et les versions antérieures, présentent une faille liée à la désérialisation Java dans le paramètre jato.pageSession de plusieurs pages. L'exploitation ne nécessite aucune authentification, et l'exécution de code à distance peut être déclenchée en envoyant une seule requête /ccversion/* au serveur. La faille est due à l'utilisation de l'application Sun ONE. Pour en savoir plus, consultez CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : console) contiennent une faille, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille facilement exploitable permet à un pirate informatique non authentifié disposant d'un accès réseau via HTTP de compromettre un serveur Oracle WebLogic. Les attaques réussies de cette faille peuvent entraîner une prise de contrôle d'Oracle WebLogic Server. Pour en savoir plus, consultez la page CVE-2020-14882.
PHPUNIT_RCE	Les versions de PHPUnit antérieures à 5.6.3 autorisent l'exécution de code à distance avec une seule requête POST non authentifiée.
PHP_CGI_RCE	Les versions PHP antérieures à 5.3.12 et les versions 5.4.x antérieures à 5.4.2, lorsqu'elles sont configurées en tant que script CGI, permettent l'exécution de code à distance. Le code vulnérable ne gère pas correctement les chaînes de requête qui n'ont pas de caractère = (signe égal). Cela permet aux attaquants d’ajouter des options de ligne de commande qui sont exécutées sur le serveur.
PORTAL_RCE	La désérialisation des données non approuvées dans les versions de Liferay Portal antérieures à la version 7.2.1 CE de GA2 permet aux pirates distants d'exécuter du code arbitraire via les services Web JSON.
REDIS_RCE	Si une instance Redis ne nécessite pas d'authentification pour exécuter des commandes d'administration, des pirates informatiques pourraient exécuter du code arbitraire.
SOLR_FILE_EXPOSED	L'authentification n'est pas activée dans Apache Solr, un serveur de recherche Open Source. Lorsque Apache Solr n'exige pas d'authentification, un pirate informatique peut créer directement une requête pour activer une configuration spécifique, puis implémenter une falsification de requête côté serveur (SSRF) ou lire des fichiers arbitraires.
SOLR_RCE	Les versions 5.0.0 à Apache Solr 8.3.1 sont vulnérables à l'exécution de code à distance via VelocityResponseWriter si params.resource.loader.enabled est défini sur "true". Cela permet aux pirates informatiques de créer un paramètre contenant un modèle Velocity malveillant.
STRUTS_RCE	Les versions d'Apache Struts antérieures à 2.3.32 et 2.5.x antérieures à 2.5.10.1 sont vulnérables à l'exécution de code à distance. La faille peut être déclenchée par un pirate informatique non authentifié qui fournit un en-tête Content-Type conçu. Le plug-in REST des versions d'Apache Struts à partir de 2.1.1, 2.3.x antérieures à 2.3.34 et 2.5.x antérieures à 2.5.13 sont vulnérables à l'exécution de code à distance lors de la désérialisation de charges utiles XML spécialement conçues. Les versions 2.3 à 2.3.34 et 2.5 à 2.5.16 d'Apache Struts sont vulnérables à l'exécution de code à distance lorsque "alwaysSelectFullNamespace" est défini sur "true" et que certaines autres configurations d'action sont présentes.
TOMCAT_FILE_DISCLOSURE	Les versions 9.x d'Apache Tomcat (avant la version 9.0.31), 8.x (avant la version 8.5.51), 7.x (avant la version 7.0.100), et toutes les versions 6.x (avant la version 6.x) sont vulnérables au code source et à la divulgation de la configuration via un connecteur de protocole Apache JServ exposé. Dans certains cas, il est utilisé pour exécuter du code à distance si l'importation de fichiers est autorisée.
VBULLETIN_RCE	Les serveurs vBulletin exécutant les versions 5.0.0 à 5.5.4 sont vulnérables à l'exécution de code à distance. Cette faille peut être exploitée par un pirate informatique non authentifié qui utilise un paramètre de requête dans une requête de chaîne de routage.
VCENTER_RCE	Les versions 7.x antérieures à 7.0 U1c, 6.7 antérieures à 6.7 U3l et 6.5 antérieures à 6.5 U3n de VMware vCenter Server sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique qui importe un fichier de pages Java Server créé dans un répertoire accessible sur le Web, puis déclenche l'exécution de ce fichier.
WEBLOGIC_RCE	Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : console) contiennent une faille d'exécution de code à distance, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille est liée à CVE-2020-14750, CVE-2020-14882 et CVE-2020-14883. Pour en savoir plus, consultez CVE-2020-14883.
OS_VULNERABILITY	VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.
UNUSED_IAM_ROLE	L'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service.

Résultats GCP_SECURITYCENTER_MISCONFIGURATION compatibles

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : MISCONFIGURATION.

Nom du résultat	Description
API_KEY_APIS_UNRESTRICTED	Certaines clés API sont utilisées à trop grande échelle. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.
API_KEY_APPS_UNRESTRICTED	Des clés API sont utilisées sans restriction, ce qui permet à toute application non approuvée de les utiliser
API_KEY_EXISTS	Un projet utilise des clés API au lieu de l'authentification standard.
API_KEY_NOT_ROTATED	La clé API n'a pas été alternée depuis plus de 90 jours
PUBLIC_COMPUTE_IMAGE	Les images Compute Engine sont accessibles publiquement.
CONFIDENTIAL_COMPUTING_DISABLED	L'informatique confidentielle est désactivée sur une instance Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet.
COMPUTE_SECURE_BOOT_DISABLED	Le démarrage sécurisé n'est pas activé pour cette VM protégée. Le démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Une instance est configurée pour utiliser le compte de service par défaut.
FULL_API_ACCESS	Une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.
OS_LOGIN_DISABLED	OS Login est désactivé sur cette instance.
PUBLIC_IP_ADDRESS	Une instance possède une adresse IP publique.
SHIELDED_VM_DISABLED	La VM protégée est désactivée sur cette instance.
COMPUTE_SERIAL_PORTS_ENABLED	Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.
DISK_CMEK_DISABLED	Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
HTTP_LOAD_BALANCER	Une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.
IP_FORWARDING_ENABLED	Le transfert IP est activé sur les instances.
Règle SSL faible	La règle SSL d'une instance est faible.
BINARY_AUTHORIZATION_DISABLED	L'autorisation binaire est désactivée sur un cluster GKE.
CLUSTER_LOGGING_DISABLED	La journalisation n'est pas activée pour un cluster GKE.
CLUSTER_MONITORING_DISABLED	Monitoring est désactivé sur les clusters GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.
INTRANODE_VISIBILITY_DISABLED	La visibilité intranœud est désactivée pour un cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.
NETWORK_POLICY_DISABLED	La stratégie de réseau est désactivée sur les clusters GKE.
NODEPOOL_SECURE_BOOT_DISABLED	Le démarrage sécurisé est désactivé pour un cluster GKE.
OVER_PRIVILEGED_ACCOUNT	Un compte de service dispose d'un accès trop étendu aux projets dans un cluster.
OVER_PRIVILEGED_SCOPES	Un compte de service de nœud possède des niveaux d'accès étendus.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy est désactivé sur un cluster GKE.
PRIVATE_CLUSTER_DISABLED	Le cluster privé est désactivé sur un cluster GKE.
WORKLOAD_IDENTITY_DISABLED	Un cluster GKE n'est pas abonné à une version disponible.
LEGACY_AUTHORIZATION_ENABLED	L'ancienne autorisation est activée sur les clusters GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
WEB_UI_ENABLED	L'interface utilisateur Web de GKE (tableau de bord) est activée.
AUTO_REPAIR_DISABLED	La fonctionnalité de réparation automatique d'un cluster GKE, qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée.
AUTO_UPGRADE_DISABLED	La fonctionnalité de mise à niveau automatique des clusters GKE, qui permet de conserver les clusters et les pools de nœuds exécutant la dernière version stable de Kubernetes, est désactivée.
CLUSTER_SHIELDED_NODES_DISABLED	Les nœuds GKE protégés ne sont pas activés pour un cluster
RELEASE_CHANNEL_DISABLED	Un cluster GKE n'est pas abonné à une version disponible.
BIGQUERY_TABLE_CMEK_DISABLED	Une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur.
DATASET_CMEK_DISABLED	Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur.
EGRESS_DENY_RULE_NOT_SET	Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Des règles de refus du trafic sortant doivent être définies pour bloquer le trafic sortant indésirable.
FIREWALL_RULE_LOGGING_DISABLED	La journalisation des règles de pare-feu est désactivée. La journalisation des règles de pare-feu doit être activée pour que vous puissiez auditer l'accès au réseau.
OPEN_CASSANDRA_PORT	Un pare-feu est configuré de manière à disposer d'un port Cassandra ouvert qui autorise un accès générique.
OPEN_SMTP_PORT	Un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.
OPEN_REDIS_PORT	Un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.
OPEN_POSTGRESQL_PORT	Un pare-feu est configuré de manière à disposer d'un port PostgreSQL ouvert qui autorise un accès générique.
OPEN_POP3_PORT	Un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.
OPEN_ORACLEDB_PORT	Un pare-feu est configuré avec un port NETBIOS ouvert qui autorise un accès générique.
OPEN_NETBIOS_PORT	Un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.
OPEN_MYSQL_PORT	Un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.
OPEN_MONGODB_PORT	Un pare-feu est configuré avec un port MONGODB ouvert qui autorise un accès générique.
OPEN_MEMCACHED_PORT	Un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.
OPEN_LDAP_PORT	Un pare-feu est configuré de manière à disposer d’un port LDAP ouvert qui permet un accès générique.
OPEN_FTP_PORT	Un pare-feu est configuré pour avoir un port FTP ouvert qui permet un accès générique.
OPEN_ELASTICSEARCH_PORT	Un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise un accès générique.
OPEN_DNS_PORT	Un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.
OPEN_HTTP_PORT	Un pare-feu est configuré de manière à avoir un port HTTP ouvert qui permet un accès générique.
OPEN_DIRECTORY_SERVICES_PORT	Un pare-feu est configuré pour disposer d'un port DIRECTORY_SERVICES ouvert qui autorise l'accès générique.
OPEN_CISCOSECURE_WEBSM_PORT	Un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.
OPEN_RDP_PORT	Un pare-feu est configuré de manière à disposer d'un port RDP ouvert qui autorise un accès générique.
OPEN_TELNET_PORT	Un pare-feu est configuré pour avoir un port TELNET ouvert qui permet un accès générique.
OPEN_FIREWALL	Un pare-feu est configuré pour être accessible au public.
OPEN_SSH_PORT	Un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.
SERVICE_ACCOUNT_ROLE_SEPARATION	Un utilisateur a été affecté aux rôles d'administrateur de compte de service et d'utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches".
NON_ORG_IAM_MEMBER	Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Un utilisateur dispose du rôle "Utilisateur du compte de service" ou "Créateur de jetons du compte de service" au niveau du projet, et non au niveau d'un compte de service spécifique.
ADMIN_SERVICE_ACCOUNT	Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours.
Clé de compte de service gérée par l'utilisateur	Un utilisateur gère une clé de compte de service.
PRIMITIVE_ROLES_USED	Il dispose du rôle de base, Propriétaire, Rédacteur ou Lecteur. Ces rôles sont trop permissifs et ne doivent pas être utilisés.
KMS_ROLE_SEPARATION	La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) suivants : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.
OPEN_GROUP_IAM_MEMBER	Un compte Google Groupes qui peut être joint sans approbation est utilisé comme compte principal d'une stratégie d'autorisation IAM.
KMS_KEY_NOT_ROTATED	La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés tous les 90 jours.
KMS_PROJECT_HAS_OWNER	Un utilisateur dispose des autorisations de propriétaire sur un projet disposant de clés cryptographiques.
Trop d'utilisateurs KMS	Il existe plus de trois utilisateurs de clés cryptographiques.
OBJECT_VERSIONING_DISABLED	La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.
LOCKED_RETENTION_POLICY_NOT_SET	Une règle de conservation verrouillée n'est pas définie pour les journaux.
BUCKET_LOGGING_DISABLED	La journalisation est désactivée dans un bucket de stockage.
LOG_NOT_EXPORTED	Un récepteur de journaux approprié n'est pas configuré pour une ressource.
AUDIT_LOGGING_DISABLED	Les journaux d'audit ont été désactivés pour cette ressource.
MFA_NOT_ENFORCED	Certains utilisateurs n'utilisent pas la validation en deux étapes.
ROUTE_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications des routes du réseau VPC.
OWNER_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriété des projets.
AUDIT_CONFIG_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.
BUCKET_IAM_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.
FIREWALL_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu du réseau cloud privé virtuel (VPC).
NETWORK_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
SQL_INSTANCE_NOT_MONITORED	Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL.
DEFAULT_NETWORK	Le réseau par défaut existe dans un projet.
DNS_LOGGING_DISABLED	La journalisation DNS sur un réseau VPC n'est pas activée.
PUBSUB_CMEK_DISABLED	Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
PUBLIC_SQL_INSTANCE	Une instance de base de données Cloud SQL accepte les connexions en provenance de toutes les adresses IP.
SSL_NOT_ENFORCED	Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.
AUTO_BACKUP_DISABLED	Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.
SQL_CMEK_DISABLED	Une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez Activer et désactiver les détecteurs.
SQL_LOG_CHECKPOINTS_DISABLED	L'option de base de données "log_checkpoints" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_CONNECTIONS_DISABLED	L'option de base de données "log_connections" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_DISCONNECTIONS_DISABLED	L'option de base de données "log_disconnections" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_DURATION_DISABLED	L'option de base de données "log_duration" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_LOCK_WAITS_DISABLED	L'option de base de données "log_lock_waits" d'une instance Cloud SQL pour PostgreSQL n'est pas activée.
SQL_LOG_STATEMENT	L'option de base de données "log_statement" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "Ddl" (toutes les instructions de définition de données).
SQL_NO_ROOT_PASSWORD	Dans une base de données Cloud SQL, aucun mot de passe n'est configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
SQL_PUBLIC_IP	Une base de données Cloud SQL possède une adresse IP publique.
SQL_CONTAINED_DATABASE_AUTHENTICATION	L'option de base de données "contained database authentication" (authentification de la base de données autonome) d'une instance Cloud SQL pour SQL Server n'est pas définie sur "off" (désactivée).
SQL_CROSS_DB_OWNERSHIP_CHAINING	L'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_LOCAL_INFILE	L'option de base de données "local_infile" d'une instance Cloud SQL pour MySQL n'est pas désactivée.
SQL_LOG_MIN_ERROR_STATEMENT	L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie correctement.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	L'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.
SQL_LOG_TEMP_FILES	L'option de base de données "log_temp_files" d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".
SQL_REMOTE_ACCESS_ENABLED	L'option de base de données d'accès à distance pour une instance Cloud SQL pour SQL Server n'est pas désactivée.
SQL_SKIP_SHOW_DATABASE_DISABLED	L'option de base de données "skip_show_database" d'une instance Cloud SQL pour MySQL n'est pas activée.
SQL_TRACE_FLAG_3625	L'option de base de données 3625 (indicateur de trace) pour une instance Cloud SQL pour SQL Server n'est pas activée.
SQL_USER_CONNECTIONS_CONFIGURED	L'option de base de données "user connections" (connexions utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
SQL_USER_OPTIONS_CONFIGURED	L'option de base de données "user options" (options utilisateur) d'une instance Cloud SQL pour SQL Server est configurée.
PUBLIC_BUCKET_ACL	Un bucket Cloud Storage est accessible publiquement.
BUCKET_POLICY_ONLY_DISABLED	L'accès uniforme au niveau du bucket, auparavant appelé "Stratégie du bucket seulement", n'est pas configuré.
BUCKET_CMEK_DISABLED	Un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.
FLOW_LOGS_DISABLED	Les journaux de flux sont désactivés dans un sous-réseau VPC.
PRIVATE_GOOGLE_ACCESS_DISABLED	Il existe des sous-réseaux privés sans accès aux API publiques Google.
kms_key_region_europe	Conformément aux règles de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe.
kms_non_euro_region	Conformément à la politique de l'entreprise, toutes les clés de chiffrement doivent rester stockées en Europe.
LEGACY_NETWORK	Un ancien réseau existe dans un projet.
LOAD_BALANCER_LOGGING_DISABLED	La journalisation est désactivée pour l'équilibreur de charge.

Résultats GCP_SECURITYCENTER_POSTURE_VIOLATION acceptés

Vous trouverez le mappage UDM dans le tableau Référence de mappage des champs : NON-CONFORMITÉ DE POSTURE.

Nom du résultat	Description
SECURITY_POSTURE_DRIFT	Dérivez par rapport aux stratégies définies dans la stratégie de sécurité. Ceci est détecté par le service de stratégie de sécurité.
SECURITY_POSTURE_POLICY_DRIFT	Le service d'état de sécurité a détecté une modification d'une règle d'administration qui s'est produite en dehors d'une mise à jour de l'état.
SECURITY_POSTURE_POLICY_DELETE	Le service de stratégie de sécurité a détecté qu'une règle d'administration a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de stratégie.
SECURITY_POSTURE_DETECTOR_DRIFT	Le service de stratégie de sécurité a détecté une modification apportée à un détecteur Security Health Analytics en dehors d'une mise à jour de stratégie.
SECURITY_POSTURE_DETECTOR_DELETE	Le service de stratégie de sécurité a détecté qu'un module personnalisé d'analyse de l'état de la sécurité a été supprimé. Cette suppression s'est produite en dehors d'une mise à jour de la posture.

Documentation de référence sur le mappage de champs

Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal Security Command Center aux champs de modèle de données unifié (UDM) Google Security Operations pour les ensembles de données.

Référence de mappage de champs : champs de journal bruts vers champs UDM

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les résultats de détection des menaces dans les événements de Security Command Center.

Champ "RawLog"	Mappage UDM	Logique
`compliances.ids`	`about.labels [compliance_ids]` (obsolète)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsolète)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsolète)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsolète)	Si la valeur du champ de journal `connections.destinationIp` n'est pas égale à `sourceProperties.properties.ipConnection.destIp`, le champ de journal `connections.destinationIp` est mappé sur le champ UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si la valeur du champ de journal `connections.destinationIp` n'est pas égale à `sourceProperties.properties.ipConnection.destIp`, le champ de journal `connections.destinationIp` est mappé sur le champ UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsolète)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsolète)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsolète)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsolète)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Si la valeur du champ de journal `message` correspond au modèle d'expression régulière `kubernetes`, le champ UDM `target.resource_ancestors.resource_type` est défini sur CLUSTER. Sinon, si la valeur du champ de journal `message` correspond à l'expression régulière `kubernetes.*?pods`, le champ UDM `target.resource_ancestors.resource_type` est défini sur POD.
	`about.resource.attribute.cloud.environment`	Le champ UDM `about.resource.attribute.cloud.environment` est défini sur `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Si la valeur du champ de journal `category` est `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, alors le champ UDM `extension.auth.type` est défini sur `SSO`.
	`extension.mechanism`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ UDM `extension.mechanism` est défini sur `USERNAME_PASSWORD`.
	`extensions.auth.type`	Si la valeur du champ de journal `principal.user.user_authentication_status` est égale à `ACTIVE`, le champ UDM `extensions.auth.type` est défini sur `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsolète)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsolète)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsolète)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsolète)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsolète)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsolète)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsolète)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsolète)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsolète)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsolète)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Si la valeur du champ de journal `category` est égale à `Initial Access: Log4j Compromise Attempt`, le champ de journal `sourceProperties.properties.loadBalancerName` est mappé au champ UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Si la valeur du champ de journal `category` est égale à `Initial Access: Log4j Compromise Attempt`, le champ UDM `intermediary.resource.resource_type` est défini sur `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si la valeur du champ de journal `canonicalName` n'est pas vide, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok. Si la valeur du champ de journal `finding_id` est vide, le champ de journal `sourceProperties.evidence.sourceLogId.insertId` est mappé avec le champ UDM `metadata.product_log_id`. Si la valeur du champ de journal `canonicalName` est vide, le champ de journal `sourceProperties.evidence.sourceLogId.insertId` est mappé avec le champ UDM `metadata.product_log_id`.
	`metadata.product_name`	Le champ UDM `metadata.product_name` est défini sur `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Le champ UDM `metadata.vendor_name` est défini sur `Google`.
	`network.application_protocol`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ UDM `network.application_protocol` est défini sur `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.properties.indicatorContext.asn` est mappé au champ UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.properties.indicatorContext.carrierName` est mappé au champ UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.indicatorContext.reverseDnsDomain` est mappé sur le champ UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseData.responseClass` est mappé au champ UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Si la valeur du champ de journal `category` correspond à l'expression régulière `Malware: Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseData.responseValue` est mappé sur le champ UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseData.domainName` est mappé sur le champ UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseData.ttl` est mappé au champ UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseData.responseType` est mappé au champ UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.authAnswer` est mappé sur le champ UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.queryName` est mappé sur le champ UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.queryType` est mappé sur le champ UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.responseCode` est mappé sur le champ UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Si la valeur du champ de journal `category` est égale à `Persistence: New User Agent`, le champ de journal `sourceProperties.properties.anomalousSoftware.callerUserAgent` est mappé au champ UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.callerUserAgent` est mappé sur le champ UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Si la valeur du champ de journal `category` est égale à `Discovery: Service Account Self-Investigation`, le champ de journal `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` est mappé sur le champ UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, le champ UDM `network.ip_protocol` est défini sur l'une des valeurs suivantes: `ICMP` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `1` ou `ICMP`. `IGMP` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `2` ou `IGMP`. `TCP` lorsque la condition suivante est remplie: La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `6` ou `TCP`. `UDP` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `17` ou `UDP`. `IP6IN4` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `41` ou `IP6IN4`. `GRE` lorsque la condition suivante est remplie: La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `47` ou `GRE`. `ESP` lorsque la condition suivante est remplie: La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `50` ou `ESP`. `EIGRP` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `88` ou `EIGRP`. `ETHERIP` lorsque la condition suivante est remplie: La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `97` ou `ETHERIP`. `PIM` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `103` ou `PIM`. `VRRP` lorsque la condition suivante est remplie : La valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à `112` ou `VRRP`. `UNKNOWN_IP_PROTOCOL` si la valeur du champ de journal `sourceProperties.properties.ipConnection.protocol` est égale à une autre valeur.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.indicatorContext.organizationName` est mappé sur le champ UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Si la valeur du champ de journal `category` est égale à `Persistence: New User Agent`, le champ de journal `sourceProperties.properties.anomalousSoftware.behaviorPeriod` est mappé sur le champ UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Si la valeur du champ de journal `category` correspond à l'expression régulière `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.sourceIp` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.sourceIp` est mappé sur le champ UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, le champ de journal `access.callerIp` est mappé au champ UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Discovery: Service Account Self-Investigation`, le champ de journal `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Evasion: Access from Anonymizing Proxy`, le champ de journal `sourceProperties.properties.changeFromBadIp.ip` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain` ou `Malware: Cryptomining Bad Domain`, le champ de journal `sourceProperties.properties.dnsContexts.sourceIp` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, le champ de journal `sourceProperties.properties.ipConnection.srcIp` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, alors si la valeur du champ de journal `sourceProperties.properties.ipConnection.srcIp` n'est pas égale à `sourceProperties.properties.indicatorContext.ipAddress`, le champ de journal `sourceProperties.properties.indicatorContext.ipAddress` est mappé au champ UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Si la valeur du champ de journal `category` est égale à `Persistence: New Geography`, le champ de journal `sourceProperties.properties.anomalousLocation.callerIp` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (obsolète)	Si la valeur du champ de journal `category` correspond à l'expression régulière `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.scannerDomain` est mappé au champ UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Si la valeur du champ de journal `category` correspond à l'expression régulière `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.scannerDomain` est mappé sur le champ UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (obsolète)	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.jobState` est mappé sur le champ `principal.labels.key/value` et le champ UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.jobState` est mappé au champ UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.indicatorContext.countryCode` est mappé sur le champ UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.job.location` est mappé au champ UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.job.location` est mappé sur le champ UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Si la valeur du champ de journal `category` est égale à `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` est mappé sur le champ UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.anomalousLocation.anomalousLocation` est mappé sur le champ UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP` ou `Malware: Outgoing DoS`, le champ de journal `sourceProperties.properties.ipConnection.srcPort` est mappé sur le champ UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.jobLink` est mappé sur le champ UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.jobLink` est mappé sur le champ UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` est mappé au champ UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.job.jobId` est mappé sur le champ UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.srcVpc.subnetworkName` est mappé sur le champ UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.srcVpc.projectId` est mappé sur le champ UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé avec le champ UDM `principal.resource_ancestors.name`, et le champ UDM `principal.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si la valeur du champ de journal `message` correspond à l'expression régulière `sourceProperties.sourceId.*?customerOrganizationNumber`, le champ de journal `sourceProperties.sourceId.customerOrganizationNumber` est mappé sur le champ UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Si la valeur du champ de journal `sourceProperties.properties.projectId` n'est pas vide, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Si la valeur du champ de journal `category` est égale à `Discovery: Service Account Self-Investigation`, le champ de journal `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` est mappé au champ UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Si la valeur du champ de journal `category` est égale à `Malware: Outgoing DoS`, le champ de journal `sourceProperties.properties.sourceInstanceDetails` est mappé au champ UDM `principal.resource.name`.
	`principal.user.account_type`	Si la valeur du champ de journal `access.principalSubject` correspond à l'expression régulière `serviceAccount`, le champ UDM `principal.user.account_type` est défini sur `SERVICE_ACCOUNT_TYPE`. Sinon, si la valeur du champ de journal `access.principalSubject` correspond à l'expression régulière `user`, le champ UDM `principal.user.account_type` est défini sur `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Si la valeur du champ de journal `category` est égale à `Discovery: Service Account Self-Investigation`, le champ UDM `principal.user.attribute.labels.key` est défini sur `rawUserAgent` et le champ de journal `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` est mappé sur le champ UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Discovery: Service Account Self-Investigation`, le champ de journal `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` est mappé au champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Evasion: Access from Anonymizing Proxy`, le champ de journal `sourceProperties.properties.changeFromBadIp.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.userEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ de journal `sourceProperties.properties.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`. Si la valeur du champ de journal `category` est égale à `Initial Access: Suspicious Login Blocked`, le champ de journal `sourceProperties.properties.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` ou `Persistence: New Geography`, le champ de journal `access.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.sensitiveRoleGrant.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Persistence: New User Agent`, le champ de journal `sourceProperties.properties.anomalousSoftware.principalEmail` est mappé au champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.principalEmail` est mappé au champ UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` est mappé au champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Persistence: New Geography`, le champ de journal `sourceProperties.properties.anomalousLocation.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Credential Access: External Member Added To Privileged Group`, le champ de journal `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` est mappé au champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Credential Access: Privileged Group Opened To Public`, le champ de journal `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Credential Access: Sensitive Role Granted To Hybrid Group`, le champ de journal `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` est mappé sur le champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.vpcViolation.userEmail` est mappé au champ UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Si la valeur du champ de journal `category` est égale à `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` ou `Persistence: SSO Enablement Toggle`, le champ de journal `sourceProperties.properties.ssoState` est mappé au champ UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ de journal `database.userName` est mappé au champ UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.threatIntelligenceSource` est mappé sur le champ UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.sourceIp` est mappé au champ UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` est mappé au champ UDM `security_result.about.resource.name`. Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.delta.restrictedResources.resourceName` est mappé avec le champ UDM `security_result.about.resource.name` et le champ UDM `security_result.about.resource_type` est défini sur `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.delta.allowedServices.serviceName` est mappé avec le champ UDM `security_result.about.resource.name` et le champ UDM `security_result.about.resource_type` est défini sur `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.delta.restrictedServices.serviceName` est mappé sur le champ UDM `security_result.about.resource.name` et le champ UDM `security_result.about.resource_type` est défini sur `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.delta.accessLevels.policyName` est mappé avec le champ UDM `security_result.about.resource.name` et le champ UDM `security_result.about.resource_type` est défini sur `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Si la valeur du champ de journal `message` correspond à l'expression régulière `contacts.?security`, le champ UDM `security_result.about.user.attribute.roles.name` est défini sur `security`. Si la valeur du champ de journal `message` correspond à l'expression régulière `contacts.?technical`, le champ UDM `security_result.about.user.attribute.roles.name` est défini sur `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Si la valeur du champ de journal `category` est égale à `Initial Access: Suspicious Login Blocked`, le champ UDM `security_result.action` est défini sur `BLOCK`. Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, et si la valeur du champ de journal `sourceProperties.properties.attempts.authResult` est égale à `SUCCESS`, le champ UDM `security_result.action` est défini sur `BLOCK`. Sinon, le champ UDM `security_result.action` est défini sur `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.delta.restrictedResources.action` est mappé au champ UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.delta.restrictedServices.action` est mappé sur le champ UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.delta.allowedServices.action` est mappé au champ UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.delta.accessLevels.action` est mappé au champ UDM `security_result.action_details`.
	`security_result.alert_state`	Si la valeur du champ de journal `state` est égale à `ACTIVE`, le champ UDM `security_result.alert_state` est défini sur `ALERTING`. Sinon, le champ UDM `security_result.alert_state` est défini sur `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	Le champ de journal `findingClass - category` est mappé avec le champ UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	Le champ de journal `findingClass - category` est mappé avec le champ UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si la valeur du champ de journal `mute` est égale à `MUTED` ou `UNMUTED`, le champ de journal `muteInitiator` est mappé sur le champ UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si la valeur du champ de journal `mute` est égale à `MUTED` ou `UNMUTED`, le champ de journal `muteUpdateTimer` est mappé sur le champ UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Si la valeur du champ de journal `category` est égale à `Persistence: New User Agent`, le champ de journal `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.authResult` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` est mappé au champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.customer_industry` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.customer_name` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.lasthit` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` est mappé au champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.myVote` est mappé au champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.support_id` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` est mappé au champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.tag_name` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.upVotes` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.downVotes` est mappé au champ UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, le champ UDM `security_result.detection_fields.key` est défini sur `sourceProperties_contextUris_relatedFindingUri_url` et le champ de journal `sourceProperties.contextUris.relatedFindingUri.url` est mappé sur le champ UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` est mappé avec le champ UDM `security_result.detection_fields.key`, et le champ de journal `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` est mappé avec le champ UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si la valeur du champ de journal `category` est égale à `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.contextUris.workspacesUri.displayName` est mappé sur le champ UDM `security_result.detection_fields.key`, et le champ de journal `sourceProperties.contextUris.workspacesUri.url` est mappé sur le champ UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` est mappé au champ UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.tags.description` est mappé sur le champ UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, le champ de journal `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` est mappé au champ UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `HIGH`, le champ UDM `security_result.priority` est défini sur `HIGH_PRIORITY`. Sinon, si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `MEDIUM`, le champ UDM `security_result.priority` est défini sur `MEDIUM_PRIORITY`. Sinon, si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `LOW`, le champ UDM `security_result.priority` est défini sur `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Exfiltration`, le champ de journal `sourceProperties.properties.vpcViolation.violationReason` est mappé sur le champ UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ de journal `database.query` est mappé sur le champ UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.folders.resourceFolderDisplayName` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.parentDisplayName` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.parentName` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.projectDisplayName` est mappé au champ UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` est mappé au champ UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `parent` est mappé sur le champ UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` est mappé sur le champ UDM `src.resource_ancestors.name` et le champ UDM `src.resource_ancestors.resource_type` est défini sur `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `resourceName` est mappé sur le champ UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.folders.resourceFolder` est mappé sur le champ UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.sourceId.customerOrganizationNumber` est mappé sur le champ UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.sourceId.projectNumber` est mappé sur le champ UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.sourceId.organizationNumber` est mappé sur le champ UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.type` est mappé sur le champ UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ de journal `database.displayName` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ UDM `src.resource.attribute.labels.key` est défini sur `grantees` et le champ de journal `database.grantees` est mappé avec le champ UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.displayName` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Si la valeur du champ de journal `resource.type` correspond au modèle d'expression régulière `(?i)google.compute.Instance or google.container.Cluster`, le champ de journal `resource.displayName` est mappé sur le champ UDM `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.display_name` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.sourceTable.projectId` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.backupId` est mappé au champ UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, le champ de journal `src.resource.attribute.labels.key/value` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si la valeur du champ de journal `category` est `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.sources.name` est mappé avec le champ UDM `src.resource.name`, et le champ de journal `resourceName` est mappé avec le champ UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` est mappé sur le champ UDM `src.resource.name` et le champ UDM `src.resource.resource_subtype` est défini sur `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` est mappé au champ UDM `src.resource.name` et le champ UDM `src.resource.resource_subtype` est défini sur `CloudSQL`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` est mappé au champ UDM `src.resource.name` et le champ UDM `src.resource.resource_subtype` est défini sur `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.sources.name` est mappé sur le champ UDM `src.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.sourceTable.tableId` est mappé sur le champ UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, le champ de journal `access.serviceName` est mappé sur le champ UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Si la valeur du champ de journal `category` est égale à `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.properties.serviceName` est mappé sur le champ UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Si la valeur du champ de journal `category` est égale à `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.properties.domainName` est mappé sur le champ UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.domains.0` est mappé sur le champ UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` est mappé sur le champ UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Si la valeur du champ de journal `category` est égale à `Credential Access: Sensitive Role Granted To Hybrid Group`, le champ de journal `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` est mappé au champ UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` est mappé sur le champ UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Si la valeur du champ de journal `category` est égale à `Credential Access: Sensitive Role Granted To Hybrid Group`, le champ de journal `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` est mappé sur le champ UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Privileged Group Opened To Public`, le champ de journal `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` est mappé sur le champ UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.customRoleSensitivePermissions.permissions` est mappé au champ UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: External Member Added To Privileged Group`, le champ de journal `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` est mappé au champ UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Sensitive Role Granted To Hybrid Group`, le champ de journal `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` est mappé au champ UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` est mappé au champ UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Privileged Group Opened To Public`, le champ de journal `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` est mappé sur le champ UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Si la valeur du champ de journal `category` est égale à `Persistence: IAM Anomalous Grant`, le champ de journal `sourceProperties.properties.customRoleSensitivePermissions.roleName` est mappé au champ UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Si la valeur du champ de journal `category` est égale à `Credential Access: External Member Added To Privileged Group`, le champ de journal `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` est mappé au champ UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Privileged Group Opened To Public`, le champ de journal `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` est mappé au champ UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Sensitive Role Granted To Hybrid Group`, le champ de journal `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` est mappé sur le champ UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP`, `Malware: Cryptomining Bad IP` ou `Malware: Outgoing DoS`, le champ de journal `sourceProperties.properties.ipConnection.destIp` est mappé sur le champ UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (obsolète)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsolète)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsolète)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsolète)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsolète)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsolète)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsolète)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsolète)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsolète)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsolète)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsolète)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsolète)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsolète)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsolète)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (obsolète)	Si la valeur du champ de journal `category` est égale à `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.properties.methodName` est mappé sur le champ UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Si la valeur du champ de journal `category` est égale à `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.properties.methodName` est mappé au champ UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.network.location` est mappé sur le champ UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP` ou `Malware: Outgoing DoS`, le champ de journal `sourceProperties.properties.ipConnection.destPort` est mappé sur le champ UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.query` est mappé au champ UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Le champ de journal `containers.labels.name` est mappé avec le champ UDM `target.resource_ancestors.attribute.labels.key`, et le champ de journal `containers.labels.value` est mappé avec le champ UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.destVpc.projectId` est mappé sur le champ UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP` ou `Malware: Bad IP`, le champ de journal `sourceProperties.properties.destVpc.subnetworkName` est mappé sur le champ UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.properties.network.subnetworkName` est mappé sur le champ UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.properties.network.subnetworkId` est mappé sur le champ UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.destVpc.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VPC_NETWORK`. Sinon, si la valeur du champ de journal `category` est égale à `Active Scan: Log4j Vulnerable to RCE`, le champ de journal `sourceProperties.properties.vpcName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio` ou `Allowed Traffic Spike`, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`containers.name`	`target.resource_ancestors.name`	Si la valeur du champ `category` de journal `category` est `Malware: Cryptomining Bad IP`, `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ `sourceProperties.properties.destVpc.vpcName` de journal `sourceProperties.properties.destVpc.vpcName` est mappé au champ `target.resource_ancestors.name` UDM `target.resource_ancestors.name`, et le champ de journal `sourceProperties.properties.vpc.vpcName` est mappé au champ `target.resource_ancestors.name`UDM UDM et le champ de journal `sourceProperties.properties.vpc.vpcName` est mappé au champ `target.resource_ancestors.name`UDM UDM et le champ `target.resource_ancestors.resource_type`UDM UDM est défini sur `VPC_NETWORK`. .`categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: External Member Added To Privileged Group`, le champ de journal `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` est mappé au champ UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Credential Access: Privileged Group Opened To Public`, le champ de journal `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` est mappé au champ UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Si la valeur du champ `category` de journal `category` est `Malware: Cryptomining Bad IP`, `Malware: Bad IP` ou `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad Domain` ou `Malware: Bad Domain` ou `Configurable Bad Domain`, le champ `sourceProperties.properties.destVpc.vpcName` de journal `sourceProperties.properties.destVpc.vpcName` est mappé au champ `target.resource_ancestors.name` UDM `target.resource_ancestors.name`, et le champ de journal `sourceProperties.properties.vpc.vpcName` est mappé au champ `target.resource_ancestors.name`UDM UDM et le champ de journal `sourceProperties.properties.vpc.vpcName` est mappé au champ `target.resource_ancestors.name`UDM UDM et le champ `target.resource_ancestors.resource_type`UDM UDM est défini sur `VPC_NETWORK`. .`categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.resource_type` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ de journal `sourceProperties.properties.gceInstanceId` est mappé avec le champ UDM `target.resource_ancestors.product_object_id`, et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added Startup Script` ou `Persistence: GCE Admin Added SSH Key`, le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.zone` est mappé au champ UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok. Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `src.resource.attribute.labels.key/value [finding_id]`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `src.resource.product_object_id`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `src.resource.attribute.labels.key/value [source_id]`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `target.resource.attribute.labels.key/value [finding_id]`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `target.resource.product_object_id`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `target.resource.attribute.labels.key/value [source_id]`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` est mappé au champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ UDM `target.resource.attribute.labels.key` est défini sur `exportScope` et le champ de journal `sourceProperties.properties.exportToGcs.exportScope` est mappé avec le champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.objectName` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.originalUri` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Si la valeur du champ de journal `category` est égale à `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.metadataKeyOperation` est mappé sur le champ UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, le champ de journal `exfiltration.targets.components` est mappé sur le champ UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketAccess` est mappé au champ UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`resourceName`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.bucketResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Restore Backup to External Organization`, le champ de journal `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.vmName` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à "Logiciel malveillant : domaine incorrect" ou à `Malware: Bad IP` ou à `Malware: Cryptomining Bad IP` ou à `Malware: Cryptomining Bad Domain` ou à `Configurable Bad Domain`, le champ de journal `sourceProperties.properties.instanceDetails` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`, et le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction` ou à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé sur le champ UDM `target.resource.attribute.name` et le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `exfiltration.target.name` est mappé sur le champ UDM `target.resource.name` et le champ de journal `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` est mappé sur le champ UDM `target.resource.attribute.labels`, et le champ UDM `target.resource.resource_type` est défini sur `TABLE`. Sinon, le champ de journal `resourceName` est mappé sur le champ UDM `target.resource.name`.
`exfiltration.targets.name`	`target.resource.name`	Si la valeur du champ de journal `category` de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.name` est mappé au champ `target.resource.name`UDM UDM. Si,`categorycategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.instanceId` est mappé sur le champ UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Si la valeur du champ de journal `category` est `Exfiltration: BigQuery Data Extraction` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionName` est mappé au champ UDM `target.resource.resource_subtype`. Sinon, si la valeur du champ de journal `category` est égale à `Credential Access: External Member Added To Privileged Group`, le champ UDM `target.resource.resource_subtype` est défini sur `Privileged Group`. Sinon, si la valeur du champ de journal `category` est `Exfiltration: BigQuery Data Exfiltration`, le champ UDM `target.resource.resource_subtype` est défini sur `BigQuery`.
	`target.resource.resource_type`	Si la valeur du champ de journal `sourceProperties.properties.extractionAttempt.destinations.collectionType` correspond à l'expression régulière `BUCKET`, le champ UDM `target.resource.resource_type` est défini sur `STORAGE_BUCKET`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`. Sinon, si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration`, le champ UDM `target.resource.resource_type` est défini sur `TABLE`.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `sourceProperties.properties.extractionAttempt.jobLink` est mappé avec le champ UDM `target.url`. Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, le champ de journal `sourceProperties.properties.extractionAttempt.jobLink` est mappé avec le champ UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration`, le champ de journal `sourceProperties.properties.exportToGcs.gcsUri` est mappé au champ UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Si la valeur du champ de journal `category` est égale à `Initial Access: Log4j Compromise Attempt`, le champ de journal `sourceProperties.properties.requestUrl` est mappé sur le champ UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, le champ de journal `sourceProperties.properties.policyLink` est mappé au champ UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Si la valeur du champ de journal `category` est égale à `Persistence: New Geography`, le champ de journal `sourceProperties.properties.anomalousLocation.notSeenInLast` est mappé sur le champ UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.attempts.username` est mappé avec le champ UDM `target.user.userid`. Si la valeur du champ de journal `category` est égale à `Initial Access: Suspicious Login Blocked`, le champ de journal `userid` est mappé avec le champ UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Si la valeur du champ de journal `category` est égale à `Initial Access: Suspicious Login Blocked`, le champ de journal `userid` est mappé sur le champ UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (obsolète)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (obsolète)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (obsolète)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (obsolète)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est égale à `Added Binary Executed` ou `Added Library Loaded`, le champ de journal `sourceProperties.VM_Instance_Name` est mappé sur le champ UDM `target.resource_ancestors.name` et le champ UDM `target.resource_ancestors.resource_type` est défini sur `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio`, `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, le champ de journal `sourceProperties.Backend_Service` est mappé sur le champ UDM `target.resource.name` et le champ de journal `resourceName` est mappé sur le champ UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Si la valeur du champ de journal `category` est égale à `Increasing Deny Ratio`, `Allowed Traffic Spike` ou `Application DDoS Attack Attempt`, le champ UDM `target.resource.resource_type` est défini sur `BACKEND_SERVICE`. Si la valeur du champ de journal `category` est égale à `Configurable Bad Domain`, le champ UDM `target.resource.resource_type` est défini sur `VIRTUAL_MACHINE`.
	`is_alert`	Si la valeur du champ de journal `state` est égale à `ACTIVE`, si la valeur du champ `mute_is_not_present` n'est pas égale à "true" et si la valeur du champ de journal `mute` est égale à `UNMUTED` ou à `UNDEFINED`, le champ UDM `is_alert` est défini sur `true`. Sinon, il est défini sur `false`.
	`is_significant`	Si la valeur du champ de journal `state` est égale à `ACTIVE`, si la valeur du champ `mute_is_not_present` n'est pas égale à "true" et si la valeur du champ de journal `mute` est égale à `UNMUTED` ou à `UNDEFINED`, le champ UDM `is_significant` est défini sur `true`. Sinon, il est défini sur `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : `user_id` a été extrait du champ de journal `sourceProperties.properties.sensitiveRoleGrant.principalEmail`, puis le champ `user_id` est mappé au champ UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : `user_id` a été extrait du champ de journal `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`, puis le champ `user_id` est mappé au champ UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Si la valeur du champ de journal `parentDisplayName` est égale à `Virtual Machine Threat Detection`, alors Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` à partir du champ de journal `resourceName`, le champ de journal `region` est mappé au champ UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Si la valeur du champ de journal `parentDisplayName` est égale à `Virtual Machine Threat Detection`, Grok extrait `project_name`, `region`, `zone_suffix` et `asset_prod_obj_id` du champ de journal `resourceName`. Le champ de journal `asset_prod_obj_id` est ensuite mappé sur le champ UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Si la valeur du champ de journal `parentDisplayName` est égale à `Virtual Machine Threat Detection`, Grok extrait `project_name`, `region`, `zone_suffix` et `asset_prod_obj_id` du champ de journal `resourceName`. Le champ de journal `zone_suffix` est alors mappé sur le champ UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Si la valeur du champ de journal `parentDisplayName` est égale à `Virtual Machine Threat Detection`, alors Grok : Extracted `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` à partir du champ de journal `resourceName`, le champ de journal `project_name` est mappé au champ UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.methodName` est mappé sur le champ UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.methodName` est mappé sur le champ UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.serviceName` est mappé sur le champ UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.serviceName` est mappé sur le champ UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.attemptTimes` est mappé sur le champ UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, le champ de journal `sourceProperties.properties.failedActions.attemptTimes` est mappé sur le champ UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, puis le Champ de journal `sourceProperties.properties.failedActions.lastOccurredTime` est mappée avec le champ UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si la valeur du champ de journal `category` est égale à `Initial Access: Excessive Permission Denied Actions`, puis le `sourceProperties.properties.failedActions.lastOccurredTime`. est mappée avec le champ UDM `additional.fields`.

Référence de mappage de champ : identifiant d'événement vers type d'événement

Identifiant de l'événement	Event Type	Catégorie de sécurité
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOITATION
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Les tableaux suivants contiennent les types d'événements UDM et la mise en correspondance des champs UDM pour les classes de résultats VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED et POSTURE_VIOLATION de Security Command Center.

De la catégorie VULNERABILITY au type d'événement UDM

Le tableau suivant répertorie la catégorie VULNERABILITÉ et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type	Catégorie de sécurité
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOITATION
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Convertir la catégorie MISCONFIGURATION en type d'événement UDM

Le tableau suivant liste la catégorie "MISCONFIGURATION" et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
Règle SSL faible	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
Clé de compte de service gérée par l'utilisateur	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
Trop d'utilisateurs KMS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Catégorie "OBSERVATION" au type d'événement UDM

Le tableau suivant liste la catégorie "OBSERVATION" et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type
Persistance: clé SSH du projet ajoutée	SETTING_MODIFICATION
Persistance : ajouter un rôle sensible	RESOURCE_PERMISSIONS_CHANGE
Impact: instance GPU créée	USER_RESOURCE_CREATION
Impact : de nombreuses instances sont créées.	USER_RESOURCE_CREATION

Catégorie ERROR au type d'événement UDM

Le tableau suivant répertorie la catégorie "ERROR" et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Convertir la catégorie UNSPECIFIED en type d'événement UDM

Le tableau suivant liste la catégorie "UNSPECIFIED" et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type	Catégorie de sécurité
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Catégorie POSTURE_VIOLATION au type d'événement UDM

Le tableau suivant répertorie la catégorie POSTURE_VIOLATION et les types d'événements UDM correspondants.

Identifiant de l'événement	Event Type
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Référence de mappage de champs: VULNERABILITÉ

Le tableau suivant répertorie les champs de journal de la catégorie VULNERABILITY et les champs UDM correspondants.

Champ "RawLog"	Mappage UDM	Logique
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [nomDisplay_source]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [nom_sourceProperties]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` a été extrait de `resourceName` à l'aide d'un modèle Grok et mappé sur le champ UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` a été extrait de `resourceName` à l'aide d'un modèle Grok et mappé sur le champ UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` a été extrait de `resourceName` à l'aide d'un modèle Grok et mappé sur le champ UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Référence de mappage de champ : MISCONFIGURATION

Le tableau suivant répertorie les champs de journal de la catégorie MISCONFIGURATION et les champs UDM correspondants.

Champ "RawLog"	Mappage UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Documentation de référence sur le mappage de champs: OBSERVATION

Le tableau suivant répertorie les champs de journal de la catégorie "OBSERVATION" et les champs UDM correspondants.

Champ "RawLog"	Mappage UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [nomDisplay_source]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Référence de mappage de champs : ERREUR

Le tableau suivant répertorie les champs de journal de la catégorie ERROR et les champs UDM correspondants.

Champ "RawLog"	Mappage UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [nomDisplay_source]

Référence de mappage de champ : UNSPECIFIED

Le tableau suivant répertorie les champs de journal de la catégorie "UNSPECIFIED" (NON SPÉCIFIÉ) et les champs UDM correspondants.

Champ "RawLog"	Mappage UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] (Chemin de ressources sources)
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [nomDisplay_source]

Documentation de référence sur le mappage de champs: POSTURE_VIOLATION

Le tableau suivant répertorie les champs de journal de la catégorie POSTURE_VIOLATION et les champs UDM correspondants.

Champ du journal	Mappage UDM	Logique
`finding.resourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `finding.resourceName` n'est pas vide, le champ de journal `finding.resourceName` est mappé sur le champ UDM `target.resource.name`. Le champ `project_name` est extrait du champ de journal `finding.resourceName` à l'aide du format Grok. Si la valeur du champ `project_name` n'est pas vide, le champ `project_name` est mappé sur le champ UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `resourceName` n'est pas vide, le champ de journal `resourceName` est mappé au champ UDM `target.resource.name`. Le champ `project_name` est extrait du champ de journal `resourceName` à l'aide du modèle Grok. Si la valeur du champ `project_name` n'est pas vide, le champ `project_name` est mappé au champ UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Si la valeur du champ de journal `finding.cloudProvider` contient l'une des valeurs suivantes, le champ de journal `finding.cloudProvider` est mappé au champ UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`cloudProvider`	`about.resource.attribute.cloud.environment`	Si la valeur du champ de journal `cloudProvider` contient l'une des valeurs suivantes, le champ de journal `cloudProvider` est mappé au champ UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Si la valeur du champ de journal `resource.cloudProvider` contient l'une des valeurs suivantes, le champ de journal `resource.cloudProvider` est mappé au champ UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Champs courants: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

Le tableau suivant liste les champs courants du SECURITY COMMAND CENTER : catégories VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION et TOXIC_COMBINATION, ainsi que les champs UDM correspondants.

Champ "RawLog"	Mappage UDM	Logique
`compliances.ids`	`about.labels [compliance_ids]` (obsolète)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (obsolète)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (obsolète)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (obsolète)	Si la valeur du champ de journal `connections.destinationIp` n'est pas égale à `sourceProperties.properties.ipConnection.destIp`, le champ de journal `connections.destinationIp` est mappé sur le champ UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Si la valeur du champ de journal `connections.destinationIp` n'est pas égale à `sourceProperties.properties.ipConnection.destIp`, le champ de journal `connections.destinationIp` est mappé sur le champ UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (obsolète)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (obsolète)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (obsolète)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (obsolète)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Le champ UDM `target.resource_ancestors.resource_type` est défini sur `CLUSTER`.
	`about.resource.attribute.cloud.environment`	Le champ UDM `about.resource.attribute.cloud.environment` est défini sur `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (obsolète)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (obsolète)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (obsolète)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (obsolète)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (obsolète)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (obsolète)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (obsolète)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (obsolète)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (obsolète)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (obsolète)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si la valeur du champ de journal `canonicalName` n'est pas vide, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok. Si la valeur du champ de journal `finding_id` est vide, le champ de journal `sourceProperties.evidence.sourceLogId.insertId` est mappé avec le champ UDM `metadata.product_log_id`. Si la valeur du champ de journal `canonicalName` est vide, le champ de journal `sourceProperties.evidence.sourceLogId.insertId` est mappé avec le champ UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si la valeur du champ de journal `message` correspond à l'expression régulière `sourceProperties.sourceId.*?customerOrganizationNumber`, le champ de journal `sourceProperties.sourceId.customerOrganizationNumber` est mappé au champ UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Si la valeur du champ de journal `access.principalSubject` correspond à l'expression régulière `serviceAccount`, le champ UDM `principal.user.account_type` est défini sur `SERVICE_ACCOUNT_TYPE`. Sinon, si la valeur du champ de journal `access.principalSubject` correspond à l'expression régulière `user`, le champ UDM `principal.user.account_type` est défini sur `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Si la valeur du champ de journal `message` correspond à l'expression régulière `contacts.?security`, le champ UDM `security_result.about.user.attribute.roles.name` est défini sur `security`. Si la valeur du champ de journal `message` correspond à l'expression régulière `contacts.?technical`, le champ UDM `security_result.about.user.attribute.roles.name` est défini sur `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Si la valeur du champ de journal `state` est égale à `ACTIVE`, le champ UDM `security_result.alert_state` est défini sur `ALERTING`. Sinon, le champ UDM `security_result.alert_state` est défini sur `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	Le champ de journal `findingClass - category` est mappé avec le champ UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si la valeur du champ de journal `mute` est égale à `MUTED` ou `UNMUTED`, le champ de journal `muteInitiator` est mappé sur le champ UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si la valeur du champ de journal `mute` est égale à `MUTED` ou `UNMUTED`, le champ de journal `muteUpdateTimer` est mappé sur le champ UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si la valeur du champ de journal `category` est `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` ou `Persistence: IAM Anomalous Grant`, le champ UDM `security_result.detection_fields.key` est défini sur `sourceProperties_contextUris_relatedFindingUri_url`, et le champ de journal `sourceProperties.contextUris.relatedFindingUri.url` est mappé sur le champ UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` ou `Malware: Cryptomining Bad IP`, le champ de journal `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` est mappé sur le champ UDM `security_result.detection_fields.key` et le champ de journal `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` est mappé sur le champ UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si la valeur du champ de journal `category` est égale à `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` ou `Persistence: SSO Settings Changed`, le champ de journal `sourceProperties.contextUris.workspacesUri.displayName` est mappé sur le champ UDM `security_result.detection_fields.key`, et le champ de journal `sourceProperties.contextUris.workspacesUri.url` est mappé sur le champ UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `HIGH`, le champ UDM `security_result.priority` est défini sur `HIGH_PRIORITY`. Sinon, si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `MEDIUM`, le champ UDM `security_result.priority` est défini sur `MEDIUM_PRIORITY`. Sinon, si la valeur du champ de journal `sourceProperties.detectionPriority` est égale à `LOW`, le champ UDM `security_result.priority` est défini sur `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ de journal `database.query` est mappé sur le champ UDM `src.process.command_line`. Sinon, le champ de journal `database.query` est mappé sur le champ UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.folders.resourceFolderDisplayName` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.value`. Sinon, le champ de journal `resource.folders.resourceFolderDisplayName` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.parentDisplayName` est mappé avec le champ UDM `src.resource_ancestors.attribute.labels.key/value`. Sinon, le champ de journal `resource.parentDisplayName` est mappé au champ UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.parentName` est mappé avec le champ UDM `src.resource_ancestors.attribute.labels.key/value`. Sinon, le champ de journal `resource.parentName` est mappé au champ UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.projectDisplayName` est mappé sur le champ UDM `src.resource_ancestors.attribute.labels.key/value`. Sinon, le champ de journal `resource.projectDisplayName` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.type` est mappé au champ UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ de journal `database.displayName` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Over-Privileged Grant`, le champ UDM `src.resource.attribute.labels.key` est défini sur `grantees` et le champ de journal `database.grantees` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.displayName` est mappé au champ UDM `src.resource.attribute.labels.value`. Sinon, le champ de journal `resource.displayName` est mappé avec le champ UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.display_name` est mappé sur le champ UDM `src.resource.attribute.labels.value`. Sinon, le champ de journal `resource.display_name` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.type` est mappé au champ UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.displayName` est mappé sur le champ UDM `src.resource.attribute.labels.value`. Sinon, le champ de journal `resource.displayName` est mappé sur le champ UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Exfiltration` ou `Exfiltration: BigQuery Data to Google Drive`, le champ de journal `resource.display_name` est mappé au champ UDM `src.resource.attribute.labels.value`. Sinon, le champ de journal `resource.display_name` est mappé avec le champ UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, le champ de journal `exfiltration.sources.components` est mappé sur le champ UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Si la valeur du champ de journal `category` est égale à `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` ou `Exfiltration: BigQuery Data Exfiltration`, le champ de journal `resourceName` est mappé sur le champ UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Si la valeur du champ de journal `category` est égale à `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` ou `Persistence: IAM Anomalous Grant`, le champ de journal `access.serviceName` est mappé sur le champ UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (obsolète)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (obsolète)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (obsolète)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (obsolète)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (obsolète)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (obsolète)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (obsolète)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (obsolète)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (obsolète)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (obsolète)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (obsolète)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (obsolète)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (obsolète)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (obsolète)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Si la valeur du champ de journal `category` est `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Cryptomining Bad IP`, le champ de journal `resourceName` est mappé au champ UDM `target.resource_ancestors.name`. Sinon, si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé au champ UDM `target.resource_ancestors.name`. Si la valeur du champ de journal `category` est `Persistence: GCE Admin Added SSH Key` ou `Persistence: GCE Admin Added Startup Script`, le champ de journal `sourceProperties.properties.projectId` est mappé au champ UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si la valeur du champ de journal `category` est égale à `Brute Force: SSH`, le champ de journal `sourceProperties.properties.zone` est mappé au champ UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok. Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `src.resource.attribute.labels.key/value [finding_id]`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `src.resource.product_object_id`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `src.resource.attribute.labels.key/value [source_id]`. Si la valeur du champ de journal `category` est égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si la valeur du champ de journal `finding_id` n'est pas vide, le champ de journal `finding_id` est mappé sur le champ UDM `target.resource.attribute.labels.key/value [finding_id]`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `finding_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `target.resource.product_object_id`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un format Grok : `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si la valeur du champ de journal `source_id` n'est pas vide, le champ de journal `source_id` est mappé sur le champ UDM `target.resource.attribute.labels.key/value [source_id]`. Si la valeur du champ de journal `category` n'est pas égale à l'une des valeurs suivantes, `source_id` est extrait du champ de journal `canonicalName` à l'aide d'un modèle Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si la valeur du champ de journal `category` est égale à `Exfiltration: CloudSQL Data Exfiltration` ou `Exfiltration: BigQuery Data Extraction`, le champ de journal `exfiltration.targets.components` est mappé sur le champ UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Si la valeur du champ de journal `category` de journal `category` est égale à `Brute Force: SSH`, le champ de journal `resourceName` est mappé au champ `target.resource_ancestors.name`UDM UDM. Si, la valeur du champ de journal `category` est égale à `Malware: Bad Domain`, `Malware: Bad IP` ou `Malware: Bad IP` ou `Malware: Cryptomining Bad IPcategoryresourceNameresourceNametarget.resource_ancestors.name` `target.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Si la valeur du champ de journal `sourceProperties.Header_Signature.name` est égale à `RegionCode`, le champ de journal `sourceProperties.Header_Signature.significantValues.value` est mappé sur le champ UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Si la valeur du champ de journal `sourceProperties.Header_Signature.name` est égale à `RemoteHost`, le champ de journal `sourceProperties.Header_Signature.significantValues.value` est mappé sur le champ UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Si la valeur du champ de journal `sourceProperties.Header_Signature.name` est égale à `UserAgent`, le champ de journal `sourceProperties.Header_Signature.significantValues.value` est mappé sur le champ UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Si la valeur du champ de journal `sourceProperties.Header_Signature.name` est égale à `RequestUriPath`, le champ de journal `sourceProperties.Header_Signature.significantValues.value` est mappé sur le champ UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.compromised_account` est mappé avec le champ UDM `principal.user.userid` et le champ UDM `principal.user.account_type` est défini sur `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.project_identifier` est mappé sur le champ UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.private_key_identifier` est mappé sur le champ UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (obsolète)	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.action_taken` est mappé sur le champ UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.action_taken` est mappé sur le champ UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (obsolète)	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.finding_type` est mappé sur le champ UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.finding_type` est mappé sur le champ UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.url` est mappé sur le champ UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Si la valeur du champ de journal `category` est égale à `account_has_leaked_credentials`, le champ de journal `sourceProperties.security_result.summary` est mappé sur le champ UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Étape suivante

Ingestion de données dans Google Security Operations